Phishing: nuovi metodi, vecchi pericoli

Contenuto pubblicato su mandato del partner inserzionista, che ne assume la responsabilità redazionale.

Una persona anziana che cade nella trappola di un SMS falso che sembra provenire dalla Posta; un padre di famiglia che paga una «tassa doganale» fittizia su indicazione di un’e-mail dall’aspetto assolutamente autentico; uno studente che inserisce la sua password di Instagram su una pagina di accesso contraffatta: il phishing non colpisce solo una tipologia di persone in modo specifico. La porta d’accesso più comune rimane la classica e-mail, ma SMS, WhatsApp, social media e codici QR falsi stanno guadagnando terreno. Questo perché la fiducia nei canali di utilizzo personale è maggiore rispetto alle e-mail anonime: in questo senso, alcuni studi mostrano addirittura come proprio i giovani appassionati di tecnologia siano spesso più vulnerabili alle trappole degli hacker.

Ma non vengono attaccati solo i privati: anche nel mondo del lavoro si notano dinamiche evidenti. Le persone che lavorano da casa o in piccoli team sono bersaglio di tentativi di phishing con una frequenza superiore alla media e le ragioni sono di natura strutturale: la mancanza del principio del doppio controllo e la presenza di processi meno formalizzati richiedono una maggiore responsabilità individuale e portano a errori più frequenti. Il danno finanziario è difficile da quantificare e il numero di casi non denunciati è enorme. Gli analisti stimano che la criminalità informatica costi alla Svizzera diversi miliardi di franchi all’anno, mentre per le persone colpite, nel peggiore dei casi il danno può mettere a rischio la loro stessa esistenza.

Quando i malintenzionati ne sanno troppo

Ciò che rende il phishing così pericoloso non è la sua sofisticazione tecnica, ma lo sfruttamento mirato dei riflessi umani. La simulazione di un’urgenza è la leva più efficace: «Il tuo conto verrà bloccato», «ultimo sollecito», «agisci subito»: frasi del genere riducono il pensiero critico, poiché chi è sotto pressione tende generalmente a controllare meno. A questo si aggiunge la reazione all’autorità: i messaggi che sembrano provenire da una banca, da un ente pubblico o dal proprio superiore spingono molte persone ad essere più acritiche. Allo stesso tempo, anche l’abitudine gioca un ruolo: chi ogni giorno controlla le notifiche o accede ai servizi digitali, prima o poi lo fa anche nel momento sbagliato e nel posto sbagliato.

Il phishing diventa ancora più efficace quando gli hacker possono attingere a dati specifici, come nome, indirizzo e-mail, ordini eseguiti, informazioni su cambi di lavoro o successi in specifici progetti: tutte informazioni che possono provenire da fughe di dati o da portali di lavoro pubblici come LinkedIn, oppure si trovano disponibili nei mercati criminali e che consentono il cosiddetto “spear-phishing”, ovvero l’utilizzo di messaggi altamente personalizzati che a prima vista sembrano assolutamente legittimi. Funziona in modo simile anche la cosiddetta CEO fraud. In questo caso, i malintenzionati si fingono il diretto superiore per ottenere ordini di pagamento o dati di accesso. Anche qui è tipica la combinazione di urgenza, segretezza ed escalation: «Sono in riunione. Per favore, effettua subito il bonifico e non dirlo a nessuno». Le aziende senza chiari processi di controllo e validazione sono in questo caso le più colpite.

L'industrializzazione della credibilità

Ciò che finora rendeva spesso riconoscibili questi attacchi era la lingua: un tedesco stentato, formule di saluto generiche, espressioni sospette. Ora non è più così: con l’utilizzo delll’IA non cambiano radicalmente le modalità phishing, ma gli attacchi diventano molto più efficaci, poiché i modelli linguistici basati sull’IA generano messaggi privi di errori e stilisticamente convincenti in frazioni di secondo. E questo in qualsiasi lingua, per qualsiasi target, in infinite varianti.

Ad un livello successivo troviamo i deepfake: già oggi le voci generate dall’IA imitano in tempo reale superiori o familiari, mentre le videochiamate con volti falsificati sono tecnicamente possibili e vengono già utilizzate in scenari ad alto rischio. Le modalità di attacco in autonomia, con la pianificazione e l’esecuzione di intere campagne di phishing senza alcun controllo umano sono considerati il prossimo livello di sviluppo.

In questo scenario, a livello generale, i provider combattono il phishing prima che un messaggio raggiunga la casella di posta: Swisscom da sola blocca ogni mese oltre 1500 campagne di phishing. La base di lavoro è un database svizzero in cui gli URL di phishing vengono condivisi tra i provider e successivamente bloccati. Inoltre, l’intelligenza artificiale aiuta anche nella difesa: i sistemi basati sull’IA analizzano le anomalie nel traffico di rete e riconoscono tempestivamente i modelli di attacco.

Cinque domande che aiutano a proteggersi

Eppure, i messaggi di phishing finiscono comunque nella posta in arrivo, perché nessuna difesa tecnica è infallibile. Come si fa allora a riconoscerli, se non è più possibile farlo controllando il linguaggio utilizzato? Cinque domande aiutano a valutare i messaggi sospetti: l’indirizzo del mittente è davvero quello giusto (non solo il nome visualizzato)? Dove portano effettivamente il link o il codice QR ricevuti? Il messaggio trasmette pressione e urgenza o richiede segretezza? Vengono richiesti dati personali o un pagamento? Il canale utilizzato o il momento sono insoliti?

Se anche solo una di queste domande trova risposta affermativa, vale la regola fondamentale: essere cauti, non cliccare su link sospetti e verificare l’autenticità del presunto mittente e del messaggio su un altro canale, ad esempio per telefono. Chi, nonostante tutto, dovesse cadere nella trappola dovrebbe agire in fretta cambiando la password interessata, contattando la banca o il servizio in questione e segnalando l’accaduto all’Ufficio federale per la sicurezza informatica (report.ncsc.admin.ch). Questo aiuta a identificare più velocemente i criminali e a proteggere altre persone.

Prevenzione nella vita di tutti i giorni

Ulteriori misure di protezione per i privati sono di facile attuazione: attivare i filtri antispam e antiphishing nel programma di posta elettronica, abilitare l’autenticazione a due fattori al momento dell’accesso e utilizzare tool di gestione delle password. Nelle aziende sono utili corsi di formazione che sensibilizzino su questi temi. I corsi di formazione sono efficaci se sono regolari, brevi e orientati alla pratica. L’indicatore più importante della loro efficacia non è il tasso di clic, bensì il tasso di segnalazione: con quale rapidità e frequenza i collaboratori segnalano i messaggi sospetti? A tal proposito è fondamentale un approccio positivo e informativo all’errore.

È opportuno nutrire rispetto nei confronti degli attacchi di phishing, ma senza timore: chi pone le domande giuste prima di cliccare ha già compiuto il passo più importante.

 Ulteriori informazioni e corsi di formazione gratuiti: swisscom.ch/campus