Lo spear phishing è un tipo di phishing mirato che ha come bersaglio una sola persona.
In questo si differenzia dallo spray phishing, un attacco di massa che cerca di coinvolgere quante più vittime possibile.
La maggior parte degli attacchi di phishing utilizza le email, perché sono il mezzo di cui ci fidiamo di più e con cui siamo più propensi ad abbassare la guardia.
Di solito, gli attacchi di spray phishing si basano sull’invio di un’email a un lungo elenco di destinatari.
L’email sembra provenire da un’azienda o un’organizzazione conosciuta dalle vittime, ad esempio da una banca, e contiene un messaggio urgente che incita il destinatario a seguire le indicazioni fornite. Generalmente, alla vittima viene chiesto di fare clic su un link che indirizza a un sito web falso, costruito in modo da assomigliare a quello della azienda legittima. Quando l’utente inserisce le proprie credenziali per fare il log in, queste vengono registrate dall’hacker. In alternativa, un altro tipo di messaggi di phishing cerca di convincere il destinatario a scaricare o aprire un file allegato che nasconde un malware. Il virus si installa sul computer e registra i dati personali (sniffing) per poi comunicarli al sistema dell’hacker attraverso la connessione a Internet.
Per essere efficace, questo tipo di attacchi fa affidamento sul numero di potenziali vittime a cui vengono inviati i messaggi e non sulla qualità del messaggio e della truffa. Quando invece l’hacker prende di mira una sola persona, la truffa è più difficile da riconoscere, l’attacco diventa più pericoloso e prende il nome di spear phishing, dall’inglese spear, che significa lancia o trafiggere.
Differenze importanti tra phishing e spear phishing
La differenza principale tra la categoria generale e quella particolare è che quest’ultima è molto più precisa e studiata.
L’hacker raccoglie informazioni sulla vittima con tecniche di ingegneria sociale e spesso la conosce personalmente. Molte volte, in un caso di spear phishing il criminale è una persona vicina alla vittima o un dipendente della stessa azienda (o un ex dipendente).
L’attacco è personalizzato: è progettato su misura per la vittima in base alle informazioni raccolte e non può funzionare con altri bersagli.
I messaggi ingannevoli sono più precisi e convincenti. A differenza dello spray phishing, i messaggi di spear phishing non contengono errori, i particolari dell’email e dell’eventuale sito falso sono molto curati ed è più difficile riconoscere la truffa.
L’attacco viene scagliato in un momento propizio e approfittando dei punti deboli della vittima, ad esempio l’hacker potrebbe spacciarsi per un collega della vittima nel momento in cui questa persona è in vacanza o non può essere contattata per altri motivi.
L’attacco fa leva su meccanismi psicologici studiati dal social engineering, ad esempio sulla paura e sull’urgenza, che in un contesto aziendale di alto livello sono molto efficaci.
Obiettivo dello spear phishing:
In linea di massima, ci sono due tipi di persone che ricorrono allo spear phishing, cyberladri e attivisti. I primi cercano di impossessarsi dei dati personali della vittima per accedere ai suoi account e rubarle denaro o chiedere un riscatto con un attacco ransomware. La seconda categoria è più interessata a creare problemi, intralciare le normali attività della vittima o magari screditarla pubblicamente. Questo è il caso di attacchi mirati a personaggi pubblici o celebrità dei social media. Non dimentichiamo che per molte di queste persone, gli account di Instagram o YouTube sono la loro azienda: prova a immaginare cosa può succedere a un youtuber famoso se all’improvviso un hacker viola il suo account ed elimina tutti i video che ha caricato.
Come proteggersi dallo spear phishing
Valgono le stesse regole e il buon senso applicabili al phishing in generale: il punto debole è l’essere umano. Un’email di spear phishing è assolutamente innocua finché la vittima non fa clic sul link o sull’allegato del messaggio. Il problema, in questo caso, è che le truffe di spear phishing sono ben congeniate e potrebbero non insospettire minimamente la vittima. Ecco alcuni consigli pratici per proteggersi dallo spear phishing:
- Creare protocolli di sicurezza in azienda e farli rispettare.
- Creare canali di comunicazione interna sicuri e limitarsi a essi.
- Fare moltissima attenzione ai messaggi urgenti.
- Verificare sempre la legittimità di mittenti, siti e così via.
Utilizzare una password diversa per ogni account online, MAI la stessa password per account aziendali e personali. È importantissimo perché consente di limitare i danni: se l’hacker riesce a rubare le credenziali di un account, proverà a utilizzarle anche su altri siti. Tutt’oggi sono molte le persone che utilizzano gli stessi dati di accesso per più servizi web, come la Intranet aziendale, il proprio profilo Facebook e l’app di e-banking (sbagliatissimo!).
Mantenere aggiornato il software di cybersicurezza, che protegge il computer da eventuali virus scaricati per sbaglio dalle email di spear phishing.
Utilizzare l’autenticazione a due fattori in tutti gli account online per cui è disponibile. Secondo Google, la verifica in due passaggi blocca il 66% degli attacchi di spear phishing.