L’esperto di cybersecurity ed ethical hacker Ivan Bütler conosce i segreti del phishing. In questa intervista ci svela come funziona il phishing e come restare immuni alle sue insidie. Nel video riceverete anche altre informazioni e consigli su questa truffa.
Il phishing sta diventando sempre più professionale. Tuttavia, se seguite alcune regole, siete già ben protetti contro il furto di dati e l’abuso delle carte di credito. Ivan Bütler è un esperto nel campo della cybersecurity. In questa intervista ci svela tutto quello che c’è da sapere sul phishing e su come proteggersi al meglio da questo fenomeno.
Ivan Bütler, cos’è esattamente il phishing?
Phishing è una parola inventata composta dalle parole password e fishing. Il phishing consiste essenzialmente nel tentativo da parte di criminali informatici di impossessarsi della password di qualcuno, creando un sito web estremamente simile a quello originale e chiedendo alla potenziale vittima di inserire la propria password su questo sito web di phishing. Se qualcuno cade nel tranello, il malintenzionato entra in possesso della password valida e la utilizza per effettuare il login al sito web originale.
Ma perché esiste il phishing?
Il malintenzionato ha la necessità di leggere le e-mail di qualcuno o di procurarsi i dati della carta di credito, ma non conosce la password necessaria. Se il malintenzionato provasse un gran numero di password note con uno strumento di hackeraggio, verrebbe scoperto e l’account verrebbe (temporaneamente) bloccato. Pensate al vostro tablet o allo smartphone: se inserite dieci volte la password sbagliata, venite temporaneamente bloccati. Per evitare di essere bloccati, gli hacker hanno «inventato» i siti web di phishing.
Da quando esiste il phishing?
I primi attacchi di phishing di cui si ha notizia risalgono al 1995. Io stesso nel 2002 ho messo in atto il primo attacco di phishing a un sistema di e-banking in occasione di un penetration test. All’epoca i sistemi di e-banking erano ancora vulnerabili, ma oggi si basano su un’autenticazione a più fattori. La password da sola non è sufficiente per effettuare l’accesso.
Come proteggersi dal phishing
- Poiché nel phishing l’attacco si basa sull’ingenuità delle persone, non dovete mai accedere al sito web di Viseca o della banca tramite un link contenuto in un’e-mail o in un SMS. È sempre meglio digitare personalmente l’indirizzo nel browser.
- Se viene visualizzato un avviso come quello riportato sopra, non dovete assolutamente cliccarvi sopra. Potrebbe trattarsi di un tentativo di phishing.
- Fate sempre attenzione alla «s» in https://. Nel caso di un sito web con http:// (senza s) si tratta sicuramente di phishing.
- Utilizzate password diverse per sistemi diversi. È preferibile utilizzare un gestore di password per organizzarle.
- Viseca non chiede mai password o altri dati sensibili relativi alla carta di credito via e-mail o SMS.
Quanto è diffuso il fenomeno del phishing?
Il phishing è uno dei principali metodi di lavoro utilizzati dai criminali informatici. Spesso vendono a terzi i dati di login che riescono a carpire, per esempio ad aziende che compiono attacchi di tipo ransomware. In questo tipo di attacco, i malintenzionati tentano di criptare i dati della vittima per poi ricattarla. L’85% degli attacchi ransomware si basa su dati di login rubati. Il phishing è quindi più che altro uno strumento che consente ai criminali informatici di penetrare ulteriormente in una rete o di ricattare le persone.
Come è cambiato il phishing negli ultimi anni?
Se prima le e-mail di phishing che venivano inviate erano scritte in una lingua piena di errori, ora i criminali informatici utilizzano ChatGPT o altri strumenti di intelligenza artificiale per lanciare attacchi di phishing che riescono ad apparire ingannevolmente autentici perché scritti in una lingua perfetta, anche via SMS e, più di recente, tramite gli inviti di Microsoft Teams.
Neppure lo smartphone è protetto al 100% dagli attacchi?
Agli utenti di smartphone viene ripetutamente chiesto di scaricare una «app di sicurezza», ma è proprio questa a consentire l’attacco di phishing. Con gli smartphone, il malintenzionato ha il vantaggio che spesso l’URL non viene nemmeno visualizzato dalle app. Quindi la potenziale vittima non può riconoscere visivamente che l’app sta comunicando con un sito fraudolento di terzi.
Come riconosco un (messaggio di) phishing in modo rapido e affidabile?
Gli attacchi di phishing tentano di attirare l’utente verso un sito web di terzi. È quindi essenziale essere in grado di distinguere il sito web falso da quello originale. Se la comunicazione avviene tramite un’e-mail, è bene tenere presente quanto segue:
- Viseca o una banca non chiede mai alla propria clientela di fare qualcosa via e-mail, tantomeno di accedere a una pagina di login tramite un link.
- Un’urgenza ingiustificata con la richiesta di agire rapidamente perché, per esempio, una spedizione è bloccata o un conto è stato/sarà bloccato.
- Se si passa il mouse su un link nell’e-mail senza fare clic, viene visualizzato l’indirizzo. I siti web di phishing hanno un URL anomalo.
- Se si riconosce un sito web di phishing, è possibile segnalarlo all’Ufficio federale della cibersicurezza (UFCS).
Cosa fare se cado nella trappola del phishing?
Se oltre ad aver cliccato su un presunto link di phishing, avete addirittura inserito una password sul sito web di phishing, dovete cambiare immediatamente la password, preferibilmente su tutti i sistemi in cui l’avete utilizzata. Successivamente, dovete segnalare il sito web di phishing all’Ufficio federale della cibersicurezza (UFCS) in modo che nessun’altra vittima cada nell’inganno.
Lo specialista in cybersecurity Ivan Bütler
Ivan Bütler è un esperto di cybersecurity, ethical hacker e cofondatore di Compass Security AG, che dal 1999 è specializzata in ethical hacking, penetration testing e incident response. È anche il fondatore di Hacking-Lab, una piattaforma virtuale di hacking online con oltre 100 000 utenti. Insegna, inoltre, cybersecurity e hacking in diverse università.
Cos’è esattamente l’ethical hacking?
Quando un’azienda incarica un’altra società di verificare le vulnerabilità del suo sistema, si parla di ethical hacking. Nel corso del suo lavoro, l’hacker può imbattersi in documenti riservati o addirittura segreti. Non rubarli e informare il cliente delle vulnerabilità rende l’hacker «etico».
C’è un cyberattacco attuale che ha sorpreso anche lei come esperto?
Le sorprese tecnologiche spuntano fuori ogni settimana. In particolare, per quanto riguarda l’ottima organizzazione dei criminali informatici, la suddivisione dei compiti tra di loro e la loro professionalizzazione. L’esecutore del phishing non è di certo il nerd trasandato, seduto davanti al computer in cantina con un berretto in testa e una bevanda gassata in mano, ma piuttosto organizzazioni professionali con specialisti per ogni aspetto della frode.