Phishing: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 15:41, 28 lug 2022 modifica 79.50.150.147 (discussione) →Collegamenti esterni ← Differenza precedente		Versione attuale delle 08:59, 28 lug 2025 modifica annulla 78.213.100.199 (discussione) →Storia Etichette: Modifica da mobile Modifica da web per mobile
(43 versioni intermedie di 29 utenti non mostrate)
Riga 3: ]] Il '''phishing''' è un tipo di [[truffa]] effettuata su [[Internet]] attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire [[Informazione\|informazioni]] personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.<ref name=":0">{{Cita libro\|titolo=Handbook of Information and Communication Security\|autore-capitolo=Zulfikar Ramzan\|curatore=Peter Stavroulakis\|curatore2=Mark Stamp\|url=https://www.google.it/books/edition/Handbook_of_Information_and_Communicatio/I-9P1EkTkigC\|editore=Springer\|città=Berlino\|mese=gennaio\|anno=2010\|lingua=en\|capitolo=Phishing attacks and countermeasures\|isbn=978-3-642-04116-7\|accesso=16 febbraio 2022}}</ref><ref name=":1">{{Cita pubblicazione\|titolo=Characteristics and responsibilities involved in a Phishing attack\|autore=Alta van der Merwe\|autore2=Marianne Loock\|autore3=Marek Dabrowski\|rivista=WISICT '05: Proceedings of the 4th international symposium on Information and communication technologies\|città=Città del Capo\|anno=2005\|mese=gennaio\|pp=~~249–254~~249-254\|lingua=en\|isbn=978-1-59593-169-6\|url=https://dl.acm.org/doi/abs/10.5555/1071752.1071800\|accesso=16 febbraio 2022\|abstract=sì}}</ref> Il termine phishing è una variante di ''fishing'' (letteralmente "pescare" in [[lingua inglese]]),<ref>{{Cita web\|url=https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/\|titolo=Spam Slayer: Do You Speak Spam?\|autore=Tom Spring\|data=20 novembre 2003\|lingua=en\|accesso=16 febbraio 2022\|dataarchivio=16 febbraio 2022\|urlarchivio=https://web.archive.org/web/20220216163807/https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/\|urlmorto=sì}}</ref> probabilmente influenzato da ''[[phreaking]]''<ref>{{Cita web\|url=http://dictionary.oed.com/cgi/entry/30004304/\|titolo="phishing, n." OED Online, March 2006, Oxford University Press.\|autore=Oxford English Dictionary Online\|data=\|accesso=}}</ref><ref>{{Cita web\|url=http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html\|titolo=Phishing\|autore=\|data=\|accesso=}}</ref> e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio [[leet]], nel quale la lettera f è comunemente sostituita con ph.<ref>{{Cita news\|autore=Anthony Mitchell\|titolo=A Leet Primer\|pubblicazione=http://www.technewsworld.com/story/47607.html.\|editore=TechNewsWorld\|data=12 luglio 2005}}</ref> La teoria popolare che si tratti di un [[Parola macedonia\|portmanteau]] di ''password harvesting''<ref>{{Cita web\|url=http://www.honeynet.org/papers/phishing/\|titolo=Know your Enemy: Phishing\|autore=\|data=\|accesso=8 luglio 2006\|urlarchivio=https://web.archive.org/web/20180320200819/http://www.honeynet.org/papers/phishing\|dataarchivio=20 marzo 2018\|urlmorto=sì}}</ref> è un esempio di [[pseudoetimologia]]. == Descrizione == Si tratta di un'attività illegale che sfrutta una tecnica di [[ingegneria sociale]]: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i [[SMS\|messaggi SMS]]. Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come [[Facebook]], [[Instagram]], [[TikTok]] e [[Twitter]]. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali. Secondo un’indagine realizzata nel 2019, solo il 17,93 per cento degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o SMS contenenti link malevoli o siti web che replicano delle pagine legittime).<ref>{{Cita web\|url=https://www.lastampa.it/tecnologia/idee/2020/01/01/news/phishing-e-cifratura-tra-i-buoni-propositi-per-il-2020-mettiamo-anche-la-sicurezza-informatica-1.38276349\|titolo=Phishing e cifratura: tra i buoni propositi per il 2020 mettiamo anche la sicurezza informatica}}</ref> == Storia == Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all'''International [[Hewlett-Packard\|HP]] Users Group'', [[Interex]].<ref>{{Cita pubblicazione\|autore=Felix, Jerry and Hauck, Chris \|titolo=System Security: A Hacker's Perspective \|rivista=1987 Interex Proceedings \|data=September 1987 \|volume=8 \|p=6}}</ref> La prima menzione registrata del termine phishing è sul [[newsgroup]] di [[Usenet]] ''alt.online-service.america-online'' il 2 gennaio [[1996]]<ref>{{Cita web\|url=http://dictionary.oed.com/cgi/entry/30004303/\|titolo="phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online\|autore=\|data=\|accesso=}}</ref>, malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per [[hacker]] ''2600''.<ref>{{Cita web\|url=http://www.technicalinfo.net/papers/Phishing.html\|titolo=The Phishing Guide: Understanding and Preventing Phishing Attacks\|autore=Ollmann, Gunter\|data=\|accesso=}}</ref> ~~In accordo con~~Secondo Ghosh ci sono stati {{formatnum:445004}} attacchi nel 2012, {{formatnum:258461}} nel 2011 e {{formatnum:187203}} nel 2010, mostrando che la minaccia del phishing è in aumento. {\| class="wikitable sortable" border="1" Riga 264: ===Prime azioni di phishing su AOL=== Il phishing su [[AOL]] era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all'inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l'~~aperture~~apertura di account usando carte di credito false, generate tramite algoritmo. I ''cracker'' iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili. ===Transizione a operazioni più ampie=== L'aver ottenuto gli account di AOL poteva aver permesso ai phishers l'utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da "post-9/11 id check". Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c'è stato il primo attacco a una banca, ed è stato riportato da [[The Banker (rivista)\|The Banker]] in un articolo scritto da Kris Sangani intitolato "Battle Against Identity Theft."<ref>{{Cita pubblicazione\|cognome=Sangani \|nome=Kris \|titolo=The Battle Against Identity Theft \|rivista=The Banker \|data=September 2003 \|volume=70 \|numero=9 \|pp=53-54}}</ref>. Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell'economia del [[crimine]]: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.<ref>{{Cita web \|titolo=In 2005, Organized Crime Will Back Phishers \|sito=IT Management \|url=http://itmanagement.earthweb.com/secu/article.php/3451501 \|data=23 dicembre 2004 \|urlarchivio=https://www.webcitation.org/5w9YVyMYn?url=http://itmanagement.earthweb.com/secu/article.php/3451501 \|dataarchivio=31 gennaio 2011 \|urlmorto=sì }}</ref><ref>{{Cita web \|titolo=The economy of phishing: A survey of the operations of the phishing market \|autore=Abad, Christopher \|wkautore=Christopher Abad \|sito=First Monday \|url=http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 \|data=September 2005 \|accesso=30 giugno 2016 \|urlarchivio=https://web.archive.org/web/20111121113128/http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 \|dataarchivio=21 novembre 2011 \|urlmorto=sì }}</ref> Nel 2011 una campagna di phishing cinese ha avuto come ~~obbiettivi~~obiettivi gli account Gmail di alti ufficiali di governo e dell'esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi.<ref>{{Cita web\|autore=Keizer, Greg \|titolo=Suspected Chinese spear-phishing attacks continue to hit Gmail users \|sito=Computer World \|url=https://www.computerworld.com/s/article/9219155/Suspected_Chinese_spear_phishing_attacks_continue_to_hit_Gmail_users \|accesso=4 dicembre 2011 \|urlmorto=no}}</ref> Il governo cinese ha negato ogni accusa di aver preso parte a questo attacco partito dal suo territorio, ma ci sono prove che l'[[Esercito Popolare di Liberazione]] abbia assistito nello sviluppo del software di cyber-attacco.<ref>{{Cita web \|autore=Ewing, Philip \|titolo=Report: Chinese TV doc reveals cyber-mischief \|sito=Dod Buzz \|url=http://www.dodbuzz.com/2011/08/22/report-chinese-tv-doc-reveals-cyber-mischief/ \|accesso=4 dicembre 2011 \|urlmorto=sì \|urlarchivio=https://web.archive.org/web/20170126114336/http://www.dodbuzz.com/2011/08/22/report-chinese-tv-doc-reveals-cyber-mischief/ \|dataarchivio=26 gennaio 2017 }}</ref> ==Tecniche di phishing== Riga 283: \|- \| mar 2011 \|\| RSA Security \|\| Lo staff interno di RSA è stato vittima di phishing,<ref>{{Cita web\|url=https://blogs.rsa.com/anatomy-of-an-attack/\|titolo=Anatomy of an RSA attack\|sito=RSA.com\|editore=RSA FraudAction Research Labs\|accesso=15 settembre 2014\|urlarchivio=https://web.archive.org/web/20141006071018/https://blogs.rsa.com/anatomy-of-an-attack/\|dataarchivio=6 ottobre 2014\|urlmorto=sì}}</ref> portando all'accesso delle ''master key'' e al furto di tutti i token RSA ~~SecureID~~SecurID, che sono stati in seguito usati per far breccia all'interno dei fornitori per la difesa US.<ref>{{Cita news\|cognome1=Drew\|nome1=Christopher\|cognome2=Markoff\|nome2=John\|titolo=Data Breach at Security Firm Linked to Attack on Lockheed\|url=https://www.nytimes.com/2011/05/28/business/28hack.html\|accesso=15 settembre 2014\|editore=The New York Times\|data=27 maggio 2011}}</ref> \|- \| set 2014 \|\| Home Depot \|\| Le informazioni personali e della carta di credito di 100+ milioni di clienti di tutti i 2200 Home Depot sono stati messi in vendita su siti di hacking.<ref>{{Cita web\|cognome1=Winter\|nome1=Michael\|titolo=Data: Nearly All U.S. Home Depot Stores Hit\|url=https://www.usatoday.com/story/money/business/2014/11/06/home-depot-hackers-stolen-data/18613167/\|sito=USA Today\|accesso=16 marzo 2016}}</ref> Riga 313: ====Lista dei tipi di phishing==== ; Phishing: Il '''phishing''' è un tipo di '''[[truffa]]''' effettuata su [[Internet]] attraverso la quale un malintenzionato cerca di ottenere [[Informazione\|informazioni]] personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. ; Spear phishing: Un attacco mirato verso un individuo o una compagnia è stato denominato '''spear phishing'''.<ref>{{Cita web \|titolo=What is spear phishing? \|sito=Microsoft Security At Home \|url=https://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx \|accesso=11 giugno 2011 \|urlarchivio=https://web.archive.org/web/20110806061136/http://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx \|dataarchivio=6 agosto 2011 \|urlmorto=sì }}</ref> Gli attaccanti potrebbero cercare informazioni sull'~~obbiettivo~~obiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.<ref>{{Cita web\|cognome1=Stephenson \|nome1=Debbie \|titolo=Spear Phishing: Who’s Getting Caught? \|url=http://www.firmex.com/blog/spear-phishing-whos-getting-caught/ \|editore=Firmex \|accesso=27 luglio 2014}}</ref> ; Clone phishing: È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta. ; Whaling: Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o enti e il termine whaling è stato coniato per questi tipi di attacco.<ref>{{Cita web \|url=https://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/. \|titolo=Fake subpoenas harpoon 2,100 corporate fat cats \|accesso=17 aprile 2008 \|editore=The Register \|urlarchivio=https://www.webcitation.org/5w9YcgvUb?url=http://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/ \|dataarchivio=31 gennaio 2011 \|urlmorto=sì }}</ref> Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l'~~obbiettivo~~obiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell'FBI cercando di forzare il ricevente a scaricare e installare del software.<ref>{{Cita web \|url=http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm \|titolo=What Is 'Whaling'? Is Whaling Like 'Spear Phishing'? \|accesso=28 marzo 2015 \|editore=About Tech \|urlarchivio=https://www.webcitation.org/6XMoiQ5E9?url=http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm \|dataarchivio=28 marzo 2015 \|urlmorto=no }}</ref> ===Manipolazione dei link=== Riga 351: ==Anti-phishing== Fino al 2007 l'adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa.<ref>{{Cita pubblicazione\|cognome=Baker\|nome=Emiley\|autore2=Wade Baker\|autore3=John Tedesco\|titolo=Organizations Respond to Phishing: Exploring the Public Relations Tackle Box\|rivista=Communication Research Reports\|anno=2007\|volume=24\|numero=4\|p=327\|doi=10.1080/08824090701624239}}</ref> Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni<ref>{{Cita web\|autore=Giada Mazzucco\|url=https://www.shellrent.com/blog/cosa-fare-in-caso-di-attacco-phishing/\|titolo=Cosa fare in caso di attacco phishing\|data=31 Luglio 2024}}</ref>. Telefoni, siti web e email di phishing possono essere riportati alle autorità, come descritto in [[#Monitoraggio e blocco\|questa]] sezione. Riga 365: ===Risposta tecnica=== Misure di anti-phishing sono state implementate nei browser, come estensioni o barre degli utensili, e come parte delle procedure di login.<ref name="Google">{{Cita web\|titolo=Safe Browsing (Google Online Security Blog)\|url=https://googleonlinesecurity.blogspot.jp/2012/06/safe-browsing-protecting-web-users-for.html\|accesso=21 giugno 2012}}</ref> Sono anche disponibili software contro il phishing. Certamente è utile leggere con attenzione la mail ricevuta sia il mittente che il corpo del messaggio. L'attaccante provvederà ad inviare un testo dove le emozioni vengono ~~"colpite"~~solleticate e si tenderà ad essere precipitosi nel voler riparare il problema descritto. Per questo motivo la contromisura migliore è di non dar seguito alla mail ma aprire una nuova pagina nel browser e contattare direttamente il sito dall'url di cui si è a conoscenza o cercare direttamente dal motore di ricerca. SeDi ~~per~~seguito ~~qualche~~ci ~~motivo,~~sono ~~erroneamente,~~alcuni ~~dovessimo~~dei ~~seguire~~principali il link riportato nella mail è utile ricordare, come descritto nel paragrafo [[#Contraffazione di un sito web\|contraffazione di un sito web]], di sbagliare volontariamente le credenziali di accesso per verificare se il sito le dovesse accettare ugualmente. Viceversa, nel caso le password corrette non dovessero essere accettate, non recuperarle immediatamente ma collegarsiapprocci al ~~sito interessato in modo diretto o dal motore di ricerca~~problema. Nel caso aveste ceduto le vostre credenziali, cambiarle tempestivamente. Se le credenziali riguardano aspetti finanziari (ad esempio conto corrente bancario o postale) contattare immediatamente la polizia postale e sporgere formale denuncia. ~~Di seguito ci sono alcuni dei principali approcci al problema.~~ ====Aiuti nell'identificare i siti legittimi==== Riga 383 ⟶ 382: Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.<ref name=":3">{{Cita web\|url=https://www.apwg.org/solutions.html#takedown\|titolo=Anti-Phishing Working Group: Vendor Solutions\|sito=Anti-Phishing Working Group\|accesso=6 luglio 2006\|urlarchivio=https://www.webcitation.org/5w9ZGndsq?url=http://www.antiphishing.org/solutions.html#takedown\|dataarchivio=31 gennaio 2011\|urlmorto=sì}}</ref> I singoli individui possono contribuire riportando tentativi di phishing,<ref name=":4">{{Cita news\|nome=Robert\|cognome=McMillan\|url=http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.\|titolo=New sites let users find and report phishing\|editore=LinuxWorld\|data=28 marzo 2006\|urlmorto=sì\|urlarchivio=https://web.archive.org/web/20090119153501/http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.\|dataarchivio=19 gennaio 2009}}</ref> a servizi come Google,<ref name=":6">[https://www.google.com/safebrowsing/report_phish/ "Report phishing" page, Google]</ref><ref name=":7">[http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam How to report phishing scams to Google] {{webarchive\|url=https://archive.is/20130414135047/http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam \|data=14 aprile 2013 }} Consumer Scams.org</ref> cyscon o [[PhishTank]].<ref name=":5">{{Cita web\|url=https://www.schneier.com/blog/archives/2006/10/phishtank.html\|titolo=PhishTank\|cognome=Schneier\|nome=Bruce\|wkautore=Bruce Schneier\|sito=Schneier on Security\|data=5 ottobre 2006\|accesso=7 dicembre 2007\|urlarchivio=https://www.webcitation.org/5w9ZHYbnJ?url=http://www.schneier.com/blog/archives/2006/10/phishtank.html\|dataarchivio=31 gennaio 2011\|urlmorto=no}}</ref> I'[[Internet Crime Complaint Center#External links\|Internet Crime Complaint Center noticeboard]] raccoglie e gestisce allerte per [[ransomware]] e phishing. ====Verifica a 2 ~~passi~~passaggi delle transazioni==== Prima di autorizzare operazioni sensibili viene mandato un messaggio telefonico<ref>[http://www.safesigner.com Using the smartphone to verify and sign online banking transactions], SafeSigner.</ref> con un codice di verifica da immettere oltre la password. Riga 440 ⟶ 439: == Collegamenti esterni == * {{cita web\|https://tecnologia.libero.it/cose-il-phishing-una-pericolosa-truffa-ecco-come-non-abboccare-2276\|Cos'è il phishing ? Ecco come non abboccare}} * {{cita web\|https://www.informaticapertutti.com/che-cose-il-phishing-come-funziona-e-come-difendersi\|Che cos'è il phishing ? Come funziona e come difendersi}} * {{cita web\|https://www.cisco.com/c/it_it/products/security/email-security/what-is-phishing.html\|Esempi di attacchi di phishing e definizione}} * {{cita web\|https://www.gdf.gov.it/servizi-per-il-cittadino/consigli-utili/phishing\|Guardia di Finanza: consigli anti-phishing utili per il cittadino}} * {{cita web \| 1 = https://www.commissariatodips.it/segnalazioni/index.html \| 2 = Polizia Postale: segnalazioni}}