Come riconoscere sms ed e-mail di phishing

sms e-mail phishing

Il phishing inizia con una e-mail, un sms o un’altra comunicazione fraudolenta inviata allo scopo di agganciare una vittima. Il messaggio sembra provenire da un mittente affidabile, come un collega, un ente o un’azienda conosciuta: se l’inganno riesce, la vittima viene invitata a fornire informazioni riservate su un sito web truffa. Spesso, nel computer del malcapitato si scarica un malware.

Questa pratica prende il nome di phishing. O smishing, se avviene tramite SMS.

Ecco come riconoscere questa tipologia di attacchi e tenere al sicuro i tuoi dati aziendali.

Alcuni esempi di phishing e smishing

Scopri come funzionano questi attacchi in dettaglio e come puoi proteggerti

 «Il tuo pacco è in attesa di consegna»: sms di phishing a nome di Poste Italiane

Capita spesso di ricevere degli SMS da parte di Poste Italiane che ti informa della presenza di un problema con la spedizione del tuo pacco e in cui ti viene richiesto di pagare un importo. Se fai clic sul link presente nel messaggio, ti verrà chiesto di effettuare il pagamento e di inserire i dati della tua carta.

Nonostante possa sembrare un sms sorprendentemente verosimile, in realtà si tratta di una truffa. Tuttavia, prestando attenzione ai dettagli, talvolta si possono trovare delle incongruenze.

«Il tuo account Amazon è incompleto»: e-mail di phishing da parte di Amazon

Nel caso di Amazon, i truffatori cercano di aggirare le misure di sicurezza. Ad esempio, in un’e-mail di questo tipo viene richiesto di aggiungere il tuo numero di telefono per proteggere il tuo account Amazon. La conferma del numero avviene tramite un link che, ovviamente, è manipolato. Tramite un modulo, i criminali cercano difatti di ottenere altri dati oltre al tuo numero di telefono, quelli della tua carta o il tuo indirizzo.

Messaggi di questo tipo sono spesso formulati con un’urgenza che ha lo scopo di metterti sotto pressione.

«Abbiamo rilevato un’anomalia sul tuo conto corrente. Reinserisci le credenziali di accesso»: sms da parte della tua banca

In questa comunicazione la banca chiede di cliccare su un link che apre un sito (in cui viene riportato il logo e il nome della banca), che sembra quello del proprio istituto di credito, in cui viene richiesto di inserire le credenziali di accesso al proprio conto corrente. Una volta inseriti, si riceve una chiamata nella quale viene richiesto un secondo codice per accedere ai servizi online della propria banca, l’OTP. Una volta comunicato, inizia lo svuotamento del conto.

«Ciao, sono in riunione e ho bisogno di un bonifico urgente sul conto di questo fornitore» e-mail di phishing da parte del CEO dell’azienda o di un collega

Le minacce interne sul posto di lavoro, ossia le mail che sembrano provenire da un account di posta aziendale, sono purtroppo all’ordine del giorno. Si tratta di attacchi meno frequenti rispetto al phishing tradizionale, ma sono molto più pericolose poiché più difficili da individuare.

Ad esempio, un dipendente dell’ufficio amministrativo riceve un’email dal suo capo che lo esorta a eseguire un bonifico con estrema urgenza sul conto di un fantomatico fornitore. Questo è un attacco di Business Email Compromise e può rappresentare una minaccia piuttosto grave.

Ma come si fa a riconoscere questa tipologia di truffe?

Cosa fare per riconoscere e-mail o sms di phishing

  • Verifica il mittente: passa il mouse sull’indirizzo e-mail del mittente per scorgere delle anomalie
  • Lo stesso vale per i link: passa il mouse sul link (senza cliccare) e vedrai che il dominio di destinazione ti sembrerà strano
  • Controlla manualmente il numero di spedizione o del pacco: inserisci il codice sulla pagina Internet di poste Italiane
  • Accedi al tuo account Amazon ed entra nella sezione Centro Comunicazioni: lì vedrai tutti i messaggi autentici di Amazon
  • Non cliccare mai su questi link e non rivelare informazioni riservate su di te o sulla tua carta
Hai bisogno di un aiuto professionale per aumentare la sicurezza informatica nella tua azienda? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Consent phishing: cos’è e come difendersi

Consent-Phishing
Consent-Phishing

Consent phishing: ecco come i cybercriminali utilizzano le autorizzazioni OAuth 2.0 per ingannare gli utenti.

Ad oggi il phishing è la tecnica di maggior successo, e quindi più diffusa, per aggirare la sicurezza. Una delle ragioni di questo successo è la capacità dei criminali informatici di elaborare nuovi modi nell’utilizzare questa tecnica, come il consent phishing.

Che cos’è il consent phishing?

Il consent phishing è un tipo di attacco informatico in cui l’utente, oltre ad essere vittima, è in qualche modo anche protagonista.

Si basa su apposite app cloud, che girano su server remoti. Le applicazioni di produttività online, come Google Workspace o Microsoft 365, ad esempio, non sono altro che dei pacchetti contenenti numerose app complesse che girano in cloud.

Per comprendere il phishing del consenso, è necessario conoscere i meccanismi su cui si basa, ovvero:

  • La voglia dell’utente di fare clic
  • Il protocollo OAuth 2.0

Il consenso all’accesso e alla condivisione delle caselle di dati fa parte della metodologia fondamentale utilizzata da un’ampia gamma di app consumer e aziendali, da Google a Facebook, Office 365 e tanti altri. Dietro la casella del consenso si trova il protocollo standard OAuth 2.0.

OAuth 2.0

Si tratta di un protocollo di autorizzazione ed un importante standard industriale. Semplifica il processo di accesso all’interno e tra siti Web, app online e app mobili; OAuth 2.0 supporta il Single Sign On (SSO) per consentire un utilizzo senza interruzioni delle app.

Milioni di siti Web e app si affidano a questo protocollo. Quando una persona effettua l’accesso per accedere a un sito Web o a un’app, questo viene in genere gestito utilizzando uno scambio di autorizzazioni OAuth 2.0: dopo l’accesso e il consenso dell’utente, il provider emette un token di accesso utilizzato dall’RP per accedere ai dati che l’utente ha acconsentito a condividere, che può essere anche un indirizzo e-mail o l’accesso a documenti, ecc.

Ecco un esempio di casella di consenso OAuth 2.0:

In che modo il consenso dell’utente facilita il phishing

Il problema con questo scambio OAuth 2.0 è che chiunque può potenzialmente registrare un’app dannosa (RP) con il provider. Ciò apre le porte ai criminali informatici per sfruttare un legittimo scambio di autorizzazioni OAuth 2.0.

Tutto parte, quasi sempre, da una e-mail. Nel messaggio, di solito, un collega ci invita ad accedere al nostro spazio cloud per scaricare o visionare un file.

L’e-mail contiene il link ad una piattaforma online nota, come Microsoft Online o Google, ma poi porta ad una schermata tramite la quale l’utente autorizza l’app cloud malevola ad accedere ai propri dati.

A differenza del phishing classico, quindi, il consent phishing non passa da una pagina Web contraffatta: l’app pericolosa usa, infatti, le piattaforme online legittime e ritenute sicure dagli utenti che, di conseguenza, si fidano. Questo perché, anche se si controlla l’URL al quale punta il link, troverà indirizzi che iniziano con “https://login.microsoftonline.com” o “https://accounts.google.com”.

Riconoscere il consent phishing, quindi, è molto più difficile rispetto al phishing classico.

Come difendersi da questo tipo di attacco

La prevenzione di attacchi intelligenti come il consent phishing non è facile. Oltre alla soluzione completa che Microsoft offre per combatterne l’aumento, è necessario adottare una serie di misure preventive.

Rilevamento di app dannose

I broker di sicurezza delle app cloud possono essere utilizzati anche per controllare le app connesse a OAuth 2.0 rilevando l’attività delle app dannose. Questi servizi basati su cloud forniscono visibilità sulle app connesse all’interno di un’azienda, monitorando l’attività e cercando comportamenti anomali.

Autorizza le app e utilizza criteri di consenso graduali

All’interno di un contesto aziendale, è possibile impostare una whitelist di app attendibili in modo che il consenso possa essere concesso solo alle app di sviluppatori interni o editori noti e attendibili. Microsoft Azure Active Directory può essere usato per applicare i criteri di consenso.

Consapevolezza della sicurezza di app e consenso

La formazione sia dei dipendenti che degli amministratori sulle tattiche di phishing del consenso dovrebbe essere incorporata nella formazione generale sulla sicurezza, per aiutare a prevenire gli attacchi.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.