Phishing: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Etichette: Modifica da mobile Modifica da web per mobile |
|||
| (553 versioni intermedie di oltre 100 utenti non mostrate) | |||
Riga 1:
[[File:PhishingTrustedBank.png|upright=1.4|thumb|Un esempio di mail di phishing, che si finge da una banca fittizia. Il mittente cerca di ingannare il destinatario facendogli mettere le sue credenziali sul sito del phisher.
Nota: anche se l'URL può sembrare legittimo non è detto che lo sia (il link può infatti mandare ad un indirizzo differente)
]]
Il '''phishing''' è un tipo di [[truffa]] effettuata su [[Internet]] attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire [[Informazione|informazioni]] personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.<ref name=":0">{{Cita libro|titolo=Handbook of Information and Communication Security|autore-capitolo=Zulfikar Ramzan|curatore=Peter Stavroulakis|curatore2=Mark Stamp|url=https://www.google.it/books/edition/Handbook_of_Information_and_Communicatio/I-9P1EkTkigC|editore=Springer|città=Berlino|mese=gennaio|anno=2010|lingua=en|capitolo=Phishing attacks and countermeasures|isbn=978-3-642-04116-7|accesso=16 febbraio 2022}}</ref><ref name=":1">{{Cita pubblicazione|titolo=Characteristics and responsibilities involved in a Phishing attack|autore=Alta van der Merwe|autore2=Marianne Loock|autore3=Marek Dabrowski|rivista=WISICT '05: Proceedings of the 4th international symposium on Information and communication technologies|città=Città del Capo|anno=2005|mese=gennaio|pp=249-254|lingua=en|isbn=978-1-59593-169-6|url=https://dl.acm.org/doi/abs/10.5555/1071752.1071800|accesso=16 febbraio 2022|abstract=sì}}</ref>
Il termine phishing è una variante di ''fishing'' (letteralmente "pescare" in [[lingua inglese]]),<ref>{{Cita web|url=https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/|titolo=Spam Slayer: Do You Speak Spam?|autore=Tom Spring|data=20 novembre 2003|lingua=en|accesso=16 febbraio 2022|dataarchivio=16 febbraio 2022|urlarchivio=https://web.archive.org/web/20220216163807/https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/|urlmorto=sì}}</ref> probabilmente influenzato da ''[[phreaking]]''<ref>{{Cita web|url=http://dictionary.oed.com/cgi/entry/30004304/|titolo="phishing, n." OED Online, March 2006, Oxford University Press.|autore=Oxford English Dictionary Online|data=|accesso=}}</ref><ref>{{Cita web|url=http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html|titolo=Phishing|autore=|data=|accesso=}}</ref> e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio [[leet]], nel quale la lettera f è comunemente sostituita con ph.<ref>{{Cita news|autore=Anthony Mitchell|titolo=A Leet Primer|pubblicazione=http://www.technewsworld.com/story/47607.html.|editore=TechNewsWorld|data=12 luglio 2005}}</ref> La teoria popolare che si tratti di un [[Parola macedonia|portmanteau]] di ''password harvesting''<ref>{{Cita web|url=http://www.honeynet.org/papers/phishing/|titolo=Know your Enemy: Phishing|autore=|data=|accesso=8 luglio 2006|urlarchivio=https://web.archive.org/web/20180320200819/http://www.honeynet.org/papers/phishing|dataarchivio=20 marzo 2018|urlmorto=sì}}</ref> è un esempio di [[pseudoetimologia]].
== Descrizione ==
Si tratta di un'attività illegale che sfrutta una tecnica di [[ingegneria sociale]]: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i [[SMS|messaggi SMS]].
Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come [[Facebook]], [[Instagram]], [[TikTok]] e [[Twitter]]. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali.
Secondo un’indagine realizzata nel 2019, solo il 17,93 per cento degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o SMS contenenti link malevoli o siti web che replicano delle pagine legittime).<ref>{{Cita web|url=https://www.lastampa.it/tecnologia/idee/2020/01/01/news/phishing-e-cifratura-tra-i-buoni-propositi-per-il-2020-mettiamo-anche-la-sicurezza-informatica-1.38276349|titolo=Phishing e cifratura: tra i buoni propositi per il 2020 mettiamo anche la sicurezza informatica}}</ref>
== Storia ==
Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all'''International [[Hewlett-Packard|HP]] Users Group'', [[Interex]].<ref>{{Cita pubblicazione|autore=Felix, Jerry and Hauck, Chris |titolo=System Security: A Hacker's Perspective |rivista=1987 Interex Proceedings |data=September 1987 |volume=8 |p=6}}</ref>
La prima menzione registrata del termine phishing è sul [[newsgroup]] di [[Usenet]] ''alt.online-service.america-online'' il 2 gennaio [[1996]]<ref>{{Cita web|url=http://dictionary.oed.com/cgi/entry/30004303/|titolo="phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online|autore=|data=|accesso=}}</ref>, malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per [[hacker]] ''2600''.<ref>{{Cita web|url=http://www.technicalinfo.net/papers/Phishing.html|titolo=The Phishing Guide: Understanding and Preventing Phishing Attacks|autore=Ollmann, Gunter|data=|accesso=}}</ref>
Secondo Ghosh ci sono stati {{formatnum:445004}} attacchi nel 2012, {{formatnum:258461}} nel 2011 e {{formatnum:187203}} nel 2010, mostrando che la minaccia del phishing è in aumento.
{| class="wikitable sortable" border="1"
|+Numero totale di attacchi phishing unici<ref name="APWG">{{Cita web|url=https://apwg.org/trendsreports/|titolo=APWG Phishing Attack Trends Reports|accesso=21 aprile 2015}}</ref>
! scope="row" | Anno
! scope="row" |Gennaio
! scope="row" |Febbraio
! scope="row" | Marzo
! scope="row" |Aprile
! scope="row" |Maggio
! scope="row" | Giugno
! scope="row" | Luglio
! scope="row" |Agosto
! scope="row" |Settembre
! scope="row" |Ottobre
! scope="row" |Novembre
! scope="row" |Dicembre
!Totale
|-
! scope="row" | 2005
| 12 845
| 13 468
| 12 883
| 14 411
| 14 987
| 15 050
| 14 135
| 13 776
| 13 562
| 15 820
| 16 882
| 15 244
|173 063
|-
! scope="row" | 2006
| 17 877
| 17 163
| 18 480
| 17 490
| 20 109
| 28 571
| 23 670
| 26 150
| 22 136
| 26 877
| 25 816
| 23 787
|268 126
|-
! scope="row" | 2007
| 29 930
| 23 610
| 24 853
| 23 656
| 23 415
| 28 888
| 23 917
| 25 624
| 38 514
| 31 650
| 28 074
| 25 683
|327 814
|-
! scope="row" | 2008
| 29 284
| 30 716
| 25 630
| 24 924
| 23 762
| 28 151
| 24 007
| 33 928
| 33 261
| 34 758
| 24 357
| 23 187
|335 965
|-
! scope="row" | 2009
| 34 588
| 31 298
| 30 125
| 35 287
| 37 165
| 35 918
| 34 683
| 40 621
| 40 066
| 33 254
| 30 490
| 28 897
|412 392
|-
! scope="row" | 2010
| 29 499
| 26 909
| 30 577
| 24 664
| 26 781
| 33 617
| 26 353
| 25 273
| 22 188
| 23 619
| 23 017
| 21 020
|313 517
|-
! scope="row" | 2011
| 23 535
| 25 018
| 26 402
| 20 908
| 22 195
| 22 273
| 24 129
| 23 327
| 18 388
| 19 606
| 25 685
| 32 979
|284 445
|-
! scope="row" | 2012
| 25 444
| 30 237
| 29 762
| 25 850
| 33 464
| 24 811
| 30 955
| 21 751
| 21 684
| 23 365
| 24 563
| 28 195
|320 081
|-
! scope="row" | 2013
| 28 850
| 25 385
| 19 892
| 20 086
| 18 297
| 38 100
| 61 453
| 61 792
| 56 767
| 55 241
| 53 047
| 52 489
|491 399
|-
! scope="row" | 2014
| 53 984
| 56 883
| 60 925
| 57 733
| 60 809
| 53 259
| 55 282
| 54 390
| 53 661
| 68 270
| 66 217
| 62 765
|704 178
|-
! scope="row" | 2015
|49 608
|55 795
|115 808
|142 099
|149 616
|125 757
|142 155
|146 439
|106 421
|194 499
|105 233
|80 548
|1 413 978
|-
!2016
|99 384
|229 315
|229 265
|121 028
|96 490
|98 006
|93 160
|66 166
|69 925
|51 153
|64 324
|95 555
|1 313 771
|-
!2017
|96 148
|100 932
|121 860
|87 453
|93 285
|92 657
|99 024
|99 172
|98 012
|61 322
|86 547
|85 744
|1 122 156
|-
!2018
|89 250
|89 010
|84 444
|91 054
|82 547
|90 882
|93 078
|89 323
|88 156
|87 619
|64 905
|87 386
|1 040 654
|-
!2019
|34 630
|35 364
|42 399
|37 054
|40 177
|34 932
|35 530
|40 457
|42 273
|45 057
|42 424
|45 072
|475 369
|}
===Prime azioni di phishing su AOL===
Il phishing su [[AOL]] era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all'inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l'apertura di account usando carte di credito false, generate tramite algoritmo. I ''cracker'' iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili.
===Transizione a operazioni più ampie===
L'aver ottenuto gli account di AOL poteva aver permesso ai phishers l'utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da "post-9/11 id check". Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c'è stato il primo attacco a una banca, ed è stato riportato da [[The Banker (rivista)|The Banker]] in un articolo scritto da Kris Sangani intitolato "Battle Against Identity Theft."<ref>{{Cita pubblicazione|cognome=Sangani |nome=Kris |titolo=The Battle Against Identity Theft |rivista=The Banker |data=September 2003 |volume=70 |numero=9 |pp=53-54}}</ref>.
Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell'economia del [[crimine]]: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.<ref>{{Cita web |titolo=In 2005, Organized Crime Will Back Phishers |sito=IT Management |url=http://itmanagement.earthweb.com/secu/article.php/3451501 |data=23 dicembre 2004 |urlarchivio=https://www.webcitation.org/5w9YVyMYn?url=http://itmanagement.earthweb.com/secu/article.php/3451501 |dataarchivio=31 gennaio 2011 |urlmorto=sì }}</ref><ref>{{Cita web |titolo=The economy of phishing: A survey of the operations of the phishing market |autore=Abad, Christopher |wkautore=Christopher Abad |sito=First Monday |url=http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 |data=September 2005 |accesso=30 giugno 2016 |urlarchivio=https://web.archive.org/web/20111121113128/http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 |dataarchivio=21 novembre 2011 |urlmorto=sì }}</ref>
Nel 2011 una campagna di phishing cinese ha avuto come obiettivi gli account Gmail di alti ufficiali di governo e dell'esercito degli Stati Uniti e del Sud Korea, come anche di attivisti cinesi.<ref>{{Cita web|autore=Keizer, Greg |titolo=Suspected Chinese spear-phishing attacks continue to hit Gmail users |sito=Computer World |url=https://www.computerworld.com/s/article/9219155/Suspected_Chinese_spear_phishing_attacks_continue_to_hit_Gmail_users |accesso=4 dicembre 2011 |urlmorto=no}}</ref> Il governo cinese ha negato ogni accusa di aver preso parte a questo attacco partito dal suo territorio, ma ci sono prove che l'[[Esercito Popolare di Liberazione]] abbia assistito nello sviluppo del software di cyber-attacco.<ref>{{Cita web |autore=Ewing, Philip |titolo=Report: Chinese TV doc reveals cyber-mischief |sito=Dod Buzz |url=http://www.dodbuzz.com/2011/08/22/report-chinese-tv-doc-reveals-cyber-mischief/ |accesso=4 dicembre 2011 |urlmorto=sì |urlarchivio=https://web.archive.org/web/20170126114336/http://www.dodbuzz.com/2011/08/22/report-chinese-tv-doc-reveals-cyber-mischief/ |dataarchivio=26 gennaio 2017 }}</ref>
==Tecniche di phishing==
===Attacchi rilevanti di phishing===
{| class="wikitable sortable"
|-
! Data !! Vittima !! Dettagli attacco
|-
| nov 2013 || Target (negozi) || 110 milioni di utenze comprensive di carta di credito rubate, attraverso il phishing di un account di un subappaltatore.<ref>{{Cita web|cognome1=O'Connell|nome1=Liz|titolo=Report: Email phishing scam led to Target breach|url=http://bringmethenews.com/2014/02/12/report-email-phishing-scam-led-to-target-breach/|sito=BringMeTheNews.com|accesso=15 settembre 2014}}</ref> Il CEO e lo staff della sicurezza IT sono stati licenziati.<ref>{{Cita web|url=http://247wallst.com/retail/2014/05/05/target-ceo-sacked/|titolo=Target CEO Sack|accesso=15 settembre 2014|cognome1=Ausick|nome1=Paul}}</ref>
|-
| mar 2011 || RSA Security || Lo staff interno di RSA è stato vittima di phishing,<ref>{{Cita web|url=https://blogs.rsa.com/anatomy-of-an-attack/|titolo=Anatomy of an RSA attack|sito=RSA.com|editore=RSA FraudAction Research Labs|accesso=15 settembre 2014|urlarchivio=https://web.archive.org/web/20141006071018/https://blogs.rsa.com/anatomy-of-an-attack/|dataarchivio=6 ottobre 2014|urlmorto=sì}}</ref> portando all'accesso delle ''master key'' e al furto di tutti i token RSA SecurID, che sono stati in seguito usati per far breccia all'interno dei fornitori per la difesa US.<ref>{{Cita news|cognome1=Drew|nome1=Christopher|cognome2=Markoff|nome2=John|titolo=Data Breach at Security Firm Linked to Attack on Lockheed|url=https://www.nytimes.com/2011/05/28/business/28hack.html|accesso=15 settembre 2014|editore=The New York Times|data=27 maggio 2011}}</ref>
|-
| set 2014 || Home Depot || Le informazioni personali e della carta di credito di 100+ milioni di clienti di tutti i 2200 Home Depot sono stati messi in vendita su siti di hacking.<ref>{{Cita web|cognome1=Winter|nome1=Michael|titolo=Data: Nearly All U.S. Home Depot Stores Hit|url=https://www.usatoday.com/story/money/business/2014/11/06/home-depot-hackers-stolen-data/18613167/|sito=USA Today|accesso=16 marzo 2016}}</ref>
|-
| nov 2014 || [[ICANN]] || Sono stati ottenuti accessi amministrativi al [https://czds.icann.org/ Centralized Zone Data System], permettendo agli attaccanti di accedere ai file di zona e ai dati degli utenti del sistema. Oltre a ciò è stato ottenuto anche all'[https://web.archive.org/web/20150801074336/https://gacweb.icann.org/display/gacweb/Governmental+Advisory+Committee ICANN's public Governmental Advisory Committee] wiki, blog, e al portale di informazioni ''whois''.<ref>{{Cita web|titolo=ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented|url=https://www.icann.org/news/announcement-2-2014-12-16-en|sito=icann.org|accesso=18 dicembre 2014}}</ref>
|}
[[File:Phishing chart Oct 2004 to June 2005.svg|thumb|upright=1.8|Un grafico che mostra l'incremento delle segnalazioni di phishing da ottobre 2004 a giugno 2005]]
Il servizio di condivisione file [[RapidShare]] è stato vittima del phishing per ottenere le credenziali di account premium, che non hanno vincoli di velocità e numero di download.<ref>{{Cita web|titolo=1-Click Hosting at RapidTec — Warning of Phishing! |url=http://rapidshare.de/en/phishing.html |urlarchivio=https://web.archive.org/web/20080430101024/http://rapidshare.de/en/phishing.html |dataarchivio=30 aprile 2008 |accesso=21 dicembre 2008}}</ref>
Gli attaccanti che hanno avuto accesso al database di [[TD Ameritrade]] contenente 6,3 milioni di indirizzi mail lanciarono successivamente un attacco phishing alle suddette mail per ottenere username e password.<ref>{{Cita web |url=https://www.sophos.com/pressoffice/news/articles/2007/09/ameritrade.html |titolo=Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims |urlarchivio=https://www.webcitation.org/5gY2R1j1g?url=http://www.sophos.com/pressoffice/news/articles/2007/09/ameritrade.html |dataarchivio=5 maggio 2009 |urlmorto=sì }}</ref>
Quasi la metà dei furti di credenziali tramite phishing nel 2006 sono stati commessi da gruppi che operavano tramite la ''[[Russian Business Network]]'' con sede a [[San Pietroburgo]].<ref>[https://www.washingtonpost.com/wp-dyn/content/story/2007/10/12/ST2007101202661.html?hpid=topnews Shadowy Russian Firm Seen as Conduit for [[Cybercrime]], by Brian Krebs, [[Washington Post]], October 13, 2007</ref>
Nel terzo quadrimestre del 2009 il [[Anti-Phishing Working Group]] ha riportato di aver avuto {{formatnum:115370}} segnalazioni di mail di phishing dai consumatori USA con la Cina che ospitava più del 25% delle pagine incriminate.<ref>{{Cita web |autore=APWG |titolo=Phishing Activity Trends Report |url=https://apwg.org/reports/apwg_report_Q3_2009.pdf |accesso=4 novembre 2013 |urlarchivio=https://web.archive.org/web/20121003202708/http://apwg.org/reports/apwg_report_Q3_2009.pdf |dataarchivio=3 ottobre 2012 |urlmorto=sì }}</ref>
Dal dicembre 2013 il ransomware [[CryptoLocker|Cryptolocker]] ha infettato {{formatnum:250000}} pc. Inizialmente l'obiettivo era l'utenza business ed è stato usato un archivio Zip allegato a una mail che sostiene di essere da parte di una lamentela di un consumatore e per passare successivamente a un pubblico più vasto usando una mail riguardante un problema con un assegno. Il ransomware crittografava i file e richiedeva un riscatto per ottenere la chiave di decifrazione (in modo da poter riavere i file). Secondo [[SecureWorks]] più dello 0.4% degli infetti ha pagato il riscatto.<ref>{{Cita news|cognome=Kelion |nome=Leo |titolo=Cryptolocker ransomware has 'infected about 250,000 PCs' |url=https://www.bbc.com/news/technology-25506020 |accesso=24 dicembre 2013 |giornale=BBC |data=24 dicembre 2013}}</ref>
'''Metodologia generale di attacco'''
Il processo standard delle metodologie di attacco di ''phishing'' può riassumersi nelle seguenti fasi:
# l'utente malintenzionato (''phisher'') spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
# l'e-mail contiene quasi sempre avvisi di ''particolari situazioni o problemi'' verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.
# l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).
# il link fornito, tuttavia, ''non'' porta in realtà al sito web ufficiale, ma a una ''copia fittizia'' apparentemente simile al sito ufficiale, situata su un [[server]] controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
# il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Talora, l'[[Posta elettronica|e-mail]] contiene l'invito a cogliere una nuova "opportunità di lavoro" (quale operatore finanziario o ''financial manager''), consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l'accredito di somme che vanno poi ri-trasferite all'estero tramite sistemi di trasferimento di denaro (Western Union o Money Gram), trattenendo una percentuale dell'importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il ''phishing'', per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di [[Riciclaggio di denaro|riciclaggio di denaro sporco]]. Quest'attività comporta per il ''phisher'' la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti [[Conto corrente|conti correnti]] e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito. Peraltro, se i trasferimenti coinvolgono più Paesi, i tempi per la ricostruzione dei movimenti bancari si allungano, poiché spesso serve una [[rogatoria]] e l'apertura di un procedimento presso la [[Magistratura (diritto)|magistratura]] locale di ogni Paese interessato<ref>{{Cita libro|autore=F.Cajani, G. Costabile, G. Mazzaraco|titolo=Phishing e furto d'identita digitale. Indagini informatiche e sicurezza bancaria, Milano, Giuffrè|anno=2008|editore=|città=}}</ref>.
====Lista dei tipi di phishing====
; Phishing: Il '''phishing''' è un tipo di '''[[truffa]]''' effettuata su [[Internet]] attraverso la quale un malintenzionato cerca di ottenere [[Informazione|informazioni]] personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.
; Spear phishing: Un attacco mirato verso un individuo o una compagnia è stato denominato '''spear phishing'''.<ref>{{Cita web |titolo=What is spear phishing? |sito=Microsoft Security At Home |url=https://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx |accesso=11 giugno 2011 |urlarchivio=https://web.archive.org/web/20110806061136/http://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx |dataarchivio=6 agosto 2011 |urlmorto=sì }}</ref> Gli attaccanti potrebbero cercare informazioni sull'obiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.<ref>{{Cita web|cognome1=Stephenson |nome1=Debbie |titolo=Spear Phishing: Who’s Getting Caught? |url=http://www.firmex.com/blog/spear-phishing-whos-getting-caught/ |editore=Firmex |accesso=27 luglio 2014}}</ref>
; Clone phishing: È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta.
; Whaling: Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o enti e il termine whaling è stato coniato per questi tipi di attacco.<ref>{{Cita web |url=https://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/. |titolo=Fake subpoenas harpoon 2,100 corporate fat cats |accesso=17 aprile 2008 |editore=The Register |urlarchivio=https://www.webcitation.org/5w9YcgvUb?url=http://www.theregister.co.uk/2008/04/16/whaling_expedition_continues/ |dataarchivio=31 gennaio 2011 |urlmorto=sì }}</ref> Viene mascherata una mail/ pagina web con lo scopo di ottenere delle credenziali di un manager. Il contenuto è creato su misura per l'obiettivo, è spesso scritto come un subpoena legale, un problema amministrativo o una lamentela di un cliente. Sono state utilizzate anche mail identiche a quelle dell'FBI cercando di forzare il ricevente a scaricare e installare del software.<ref>{{Cita web |url=http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm |titolo=What Is 'Whaling'? Is Whaling Like 'Spear Phishing'? |accesso=28 marzo 2015 |editore=About Tech |urlarchivio=https://www.webcitation.org/6XMoiQ5E9?url=http://netforbeginners.about.com/od/scamsandidentitytheft/f/What-Is-Whaling-Spear-Phishing.htm |dataarchivio=28 marzo 2015 |urlmorto=no }}</ref>
===Manipolazione dei link===
La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici.<ref>[https://attivissimo.blogspot.com/2020/12/dove-porta-quel-link-misterioso.html Dove porta quel link misterioso ?, Paolo Attivissimo, 4 dicembre 2020]</ref> Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini ad esempio <code>http://www.tuabanca.it.esempio.com<nowiki/>/,</code> può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito. Un'altra metodologia è registrare un dominio lavorando su lettere visivamente simili, ad esempio "a" ed "e" oppure, utilizzando lo stesso dominio, cambiano il suffisso da ".it" a ".com".
Un altro metodo usato dai truffatori è quello di inserire la @ dopo l'indirizzo reale, seguita dall'indirizzo fraudolento, camuffando il secondo con un formato differente (ad esempio: IP); in questo modo l'utente truffato viene indirizzato all'indirizzo fraudolento, essendo il testo che precede la chiocciola ignorata dal browser.<ref>{{Cita web|url=https://www.commissariatodips.it/approfondimenti/phishing/approfondimenti-tecnici/index.html|titolo=Phishing|sito=Polizia Postale|data=2021-08-05|lingua=it|accesso=2021-08-27}}</ref>
===Aggiramento dei filtri===
I phisher hanno iniziato, col tempo, a mascherare il testo inserendolo in immagini, in questo modo i filtri anti-phishing hanno più difficoltà nell'identificazione delle minacce.<ref name=":2">{{Cita web|url=http://news.netcraft.com/archives/2005/05/12/fraudsters_seek_to_make_phishing_sites_undetectable_by_content_filters.html|titolo=Fraudsters seek to make phishing sites undetectable by content filters|autore=Mutton, Paul|sito=Netcraft|urlarchivio=https://www.webcitation.org/5w9YzPsN0?url=http://news.netcraft.com/archives/2005/05/12/fraudsters_seek_to_make_phishing_sites_undetectable_by_content_filters.html|dataarchivio=31 gennaio 2011|urlmorto=no}}</ref> Questo ha portato sull'altro lato a una evoluzione dei filtri, ora capaci di trovare testo in immagini. Questi filtri usano la tecnologia OCR ([[riconoscimento ottico dei caratteri]]).
===Contraffazione di un sito web===
Quando una vittima visita un sito di phishing l'attacco non è terminato. Nella pagina possono essere infatti presenti comandi [[JavaScript]] per alterare la barra degli indirizzi.<ref>{{Cita web|autore=Mutton, Paul|titolo=Phishing Web Site Methods|sito=FraudWatch International|url=http://www.fraudwatchinternational.com/phishing-fraud/phishing-web-site-methods/|accesso=14 dicembre 2006|urlarchivio=https://www.webcitation.org/5w9Z2iACi?url=http://www.fraudwatchinternational.com/phishing-fraud/phishing-web-site-methods/|dataarchivio=31 gennaio 2011|urlmorto=sì}}</ref> Può essere fatto o mettendo un'immagine nella barra degli indirizzi o chiudendo la finestra e aprendone una nuova con l'indirizzo legittimo.<ref>{{Cita news|url=http://news.bbc.co.uk/1/hi/technology/3608943.stm|titolo=Phishing con hijacks browser bar|data=8 aprile 2004|editore=BBC News}}</ref>
Un attaccante può anche usare vulnerabilità in un sito fidato e inserire i suoi script malevoli.<ref>{{Cita news|autore=Krebs, Brian|titolo=Flaws in Financial Sites Aid Scammers|pubblicazione=Security Fix|url=http://blog.washingtonpost.com/securityfix/2006/06/flaws_in_financial_sites_aid_s.html|accesso=28 giugno 2006|urlarchivio=https://www.webcitation.org/5w9Z4mv7k?url=http://blog.washingtonpost.com/securityfix/2006/06/flaws_in_financial_sites_aid_s.html|dataarchivio=31 gennaio 2011|urlmorto=sì}}</ref> Questi tipi di attacco, conosciuti come [[cross-site scripting]] sono particolarmente problematici perché tutto sembra legittimo, compresi i certificati di sicurezza. In realtà tutto è fatto ad hoc per portare a termine l'attacco, rendendolo molto difficile da individuare senza conoscenze specialistiche. Un attacco di questo tipo è stato utilizzato nel 2006 contro [[PayPal]].<ref>{{Cita web|autore=Mutton, Paul|titolo=PayPal Security Flaw allows Identity Theft|sito=Netcraft|url=http://news.netcraft.com/archives/2006/06/16/paypal_security_flaw_allows_identity_theft.html|accesso=19 giugno 2006|urlarchivio=https://www.webcitation.org/5w9Z5zOVh?url=http://news.netcraft.com/archives/2006/06/16/paypal_security_flaw_allows_identity_theft.html|dataarchivio=31 gennaio 2011|urlmorto=no}}</ref>
Alcuni software, peraltro gratuiti, permettono di creare un sito web "clone". In pochi passaggi prelevano la struttura e le immagini in modo identico all'originale senza alcun sforzo e/o senza alcuna conoscenza informatica. Solo a quel punto l'attaccante inserirà al proprio interno il login per catturare le credenziali di accesso, indirizzando le credenziali al suo database o più semplicemente in un file di testo. Generalmente adottano due principi: accetta tutte le password, senza alcuna correttezza delle informazioni inserite o rifiuta tutte le password, proponendo così di recuperare la password dimenticata.
===Phishing telefonico===
Non sempre il phishing implica l'utilizzo di un sito web o di mail.<ref>{{Cita news|url=http://www.techweb.com/wire/security/186701001|cognome=Gonsalves|nome=Antone|titolo=Phishers Snare Victims With VoIP|data=25 aprile 2006|editore=Techweb|urlmorto=sì|urlarchivio=https://web.archive.org/web/20070328150301/http://www.techweb.com/wire/security/186701001|dataarchivio=28 marzo 2007}}</ref> Quando il numero indicato (gestito dal phisher, di solito si tratta di un numero [[Voice over IP]]) nel messaggio viene chiamato viene chiesto all'utente il proprio PIN. Il [[vishing]] (voice phishing) qualche volta utilizza un finto numero di chiamante, in modo da dare l'apparenza di un'organizzazione fidata.<ref>{{Cita news|url=http://www.silicon.com/research/specialreports/voip/0,3800004463,39128854,00.htm|titolo=Identity thieves take advantage of VoIP|data=21 marzo 2005|editore=Silicon.com|urlarchivio=https://web.archive.org/web/20050324073507/http://www.silicon.com/research/specialreports/voip/0,3800004463,39128854,00.htm|dataarchivio=24 marzo 2005}}</ref>
In alcuni casi il phisher cerca di ottenere in maniera fraudolenta tramite [[WhatsApp]], non dati finanziari o codici pin, ma copie di documenti d'identità che utilizzerà poi per successive truffe.<ref>{{Cita web|url=https://blog.tellows.it/2019/07/richiesta-di-documenti-tramite-whatsapp-attenti-alle-truffe/|titolo=Richiesta di documenti tramite WhatsApp? Attenti alle truffe! {{!}} Tellows Blog|accesso=2019-07-17}}</ref>
===Phishing tramite SMS===
Si chiama [[SMishing]] l'imbroglio perpetrato tramite [SMS].
Esistono sostanzialmente tre varianti di questa truffa:
- vengono inviati messaggi sms agli utenti, che fingono di riguardare una spedizione di un pacco.<ref>[https://www.macitynet.it/sms-truffa-come-funzionano-e-come-bloccarli/ SMS truffa, come funzionano e come bloccarli, macitynet.it, 20 luglio 2022]</ref>
- vengono inviati messaggi sms agli utenti, che dicono che ci siano stati dei problemi con i loro account bancari.<ref>[https://www.altroconsumo.it/hi-tech/smartphone/news/sms-phishing-smishing-sim-swap SMishing, altroconsumo.it, 24 novembre 2021]</ref>
- vengono inviati messaggi sms agli utenti, che contengono [[Malware]].<ref>[https://www.chimerarevo.com/guide/smishing-cose-e-come-difendersi-dagli-sms-truffa-427032/ Smishing: cos'è e come difendersi dagli SMS truffa, chimerarevo.com, 30 maggio 2022]</ref>
===Phishing tramite Codice QR===
Con un [[Codice QR]] i criminali informatici potrebbero cercare di dirottare l'ignaro utente su un sito appositamente allestito per truffarlo.<ref>[https://www.lastampa.it/tecnologia/blog/sicuri-nella-rete/2022/01/25/news/occhio_al_qr_code_cybercriminali_potrebbero_essere_dietro_l_angolo-335145875/ Occhio al QR code, La Stampa, 25 gennaio 2022]</ref>
==Anti-phishing==
Fino al 2007 l'adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa.<ref>{{Cita pubblicazione|cognome=Baker|nome=Emiley|autore2=Wade Baker|autore3=John Tedesco|titolo=Organizations Respond to Phishing: Exploring the Public Relations Tackle Box|rivista=Communication Research Reports|anno=2007|volume=24|numero=4|p=327|doi=10.1080/08824090701624239}}</ref> Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni<ref>{{Cita web|autore=Giada Mazzucco|url=https://www.shellrent.com/blog/cosa-fare-in-caso-di-attacco-phishing/|titolo=Cosa fare in caso di attacco phishing|data=31 Luglio 2024}}</ref>.
Telefoni, siti web e email di phishing possono essere riportati alle autorità, come descritto in [[#Monitoraggio e blocco|questa]] sezione.
===Istruzione===
Una strategia per combattere il phishing è istruire le persone a riconoscere gli attacchi e ad affrontarli. L'educazione può essere molto efficace, specialmente se vengono enfatizzati alcuni concetti<ref name="ALS14">{{Cita pubblicazione|nome3=Michael|cognome3=Scott|nome2=Steve|cognome2=Love|nome1=Nalin|cognome1=Arachchilage|data=1º giugno 2012|titolo=Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'|url=https://www.academia.edu/2390447/Designing_a_Mobile_Game_to_Teach_Conceptual_Knowledge_of_Avoiding_Phishing_Attacks|rivista=International Journal for e-Learning Security|editore=Infonomics Society|volume=2|numero=1|pp=127-132|accesso=1º aprile 2016}}</ref><ref name="SGA14">{{Cita conferenza|url=https://www.academia.edu/6495360/Assessing_the_Role_of_Conceptual_Knowledge_in_an_Anti-Phishing_Educational_Game|titolo=Assessing the Role of Conceptual Knowledge in an Anti-Phishing Educational Game|nome1=Michael|cognome1=Scott|nome2=Gheorghita|cognome2=Ghinea|nome3=Nalin|cognome3=Arachchilage|formato=pdf|conferenza=Proceedings of the 14th IEEE International Conference on Advanced Learning Technologies|editore=IEEE|p=218|doi=10.1109/ICALT.2014.70|data=7 luglio 2014|accesso=1º aprile 2016}}</ref> e fornito un feedback diretto.<ref>{{Cita web|titolo=Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System|sito=Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University.|data=November 2006|autore=Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge|url=https://www.cylab.cmu.edu/files/cmucylab06017.pdf|accesso=14 novembre 2006|formato=PDF|urlmorto=sì|urlarchivio=https://web.archive.org/web/20070130211610/http://www.cylab.cmu.edu/files/cmucylab06017.pdf|dataarchivio=30 gennaio 2007}}</ref>
L'[[Anti-Phishing Working Group]], un ente di rinforzo per la sicurezza, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, con la crescente consapevolezza delle persone delle tecniche di ''social engineering'' usate dai ''phisher''.<ref>{{Cita news|url=http://www.zdnetindia.com/news/features/stories/126569.html|cognome=Kawamoto|nome=Dawn|titolo=Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.|data=4 agosto 2005|editore=ZDNet India|urlmorto=sì|urlarchivio=https://web.archive.org/web/20051130031140/http://www.zdnetindia.com/news/features/stories/126569.html|dataarchivio=30 novembre 2005}}</ref> Ha inoltre predetto che il [[pharming]] e diversi usi di [[malware]] diventeranno più comuni per rubare informazioni.
Tutti possono aiutare il pubblico incoraggiando pratiche sicure ed evitando quelle pericolose. Sfortunatamente anche i giocatori noti sono conosciuti per incitare gli utenti a pratiche rischiose, ad esempio richiedendo ai propri utenti di rivelare le loro password a servizi di terze parti, come ad esempio la mail.<ref>{{Cita pubblicazione|titolo=Social networking site teaches insecure password practices|rivista=Blog.anta.net|data=9 novembre 2008|url=http://blog.anta.net/2008/11/09/social-networking-site-teaches-insecure-password-practices/|issn=1797-1993|accesso=9 novembre 2008|urlmorto=sì|urlarchivio=https://web.archive.org/web/20090107043554/http://blog.anta.net/2008/11/09/social-networking-site-teaches-insecure-password-practices/|dataarchivio=7 gennaio 2009}}
</ref>
===Risposta tecnica===
Misure di anti-phishing sono state implementate nei browser, come estensioni o barre degli utensili, e come parte delle procedure di login.<ref name="Google">{{Cita web|titolo=Safe Browsing (Google Online Security Blog)|url=https://googleonlinesecurity.blogspot.jp/2012/06/safe-browsing-protecting-web-users-for.html|accesso=21 giugno 2012}}</ref> Sono anche disponibili software contro il phishing.
Certamente è utile leggere con attenzione la mail ricevuta sia il mittente che il corpo del messaggio. L'attaccante provvederà ad inviare un testo dove le emozioni vengono solleticate e si tenderà ad essere precipitosi nel voler riparare il problema descritto. Per questo motivo la contromisura migliore è di non dar seguito alla mail ma aprire una nuova pagina nel browser e contattare direttamente il sito dall'url di cui si è a conoscenza o cercare direttamente dal motore di ricerca. Di seguito ci sono alcuni dei principali approcci al problema.
====Aiuti nell'identificare i siti legittimi====
La maggior parte dei siti bersaglio del punishing sono protetti da [[Transport Layer Security|SSL]] con una forte crittografia, dove l'URL del sito web è usata come identificativo. Questo dovrebbe in teoria confermare l'autenticità del sito, ma nella pratica è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell'url del browser viene poi indicata con dei colori la connessione utilizzata (blocco verde per certificato EV, scritta https in verde).
====Browser che allertano l'utente quando visitano siti truffaldini====
Un altro approccio popolare per combattere il phishing è quello di mantenere una lista dei siti noti per phishing e controllare se l'utente li visita. Tutti i browser popolari incorporano questo tipo di protezione.<ref name=Google /><ref>{{Cita web|autore=Franco, Rob|titolo=Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers|sito=IEBlog|url=https://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx|accesso=20 maggio 2006|urlarchivio=https://www.webcitation.org/5mq3wifwd?url=http://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx|dataarchivio=17 gennaio 2010|urlmorto=no}}</ref><ref>{{Cita web|titolo=Bon Echo Anti-Phishing|sito=Mozilla|url=https://www.mozilla.org/projects/bonecho/anti-phishing/|accesso=2 giugno 2006|urlarchivio=https://www.webcitation.org/619zgMPR6?url=http://www.mozilla.org/projects/bonecho/anti-phishing/|dataarchivio=23 agosto 2011|urlmorto=sì}}</ref><ref>{{Cita web|titolo=Safari 3.2 finally gains phishing protection|data=13 novembre 2008|accesso=15 novembre 2008|sito=Ars Technica|url=https://arstechnica.com/journals/apple.ars/2008/11/13/safari-3-2-finally-gains-phishing-protection|urlarchivio=https://www.webcitation.org/619zh5NCV?url=http://arstechnica.com/journals/apple.ars/2008/11/13/safari-3-2-finally-gains-phishing-protection|dataarchivio=23 agosto 2011|urlmorto=no}}</ref><ref>{{Cita news|url=http://www.3sharp.com/projects/antiphish/index.htm|urlarchivio=https://web.archive.org/web/20080114211315/http://www.3sharp.com/projects/antiphish/index.htm|dataarchivio=14 gennaio 2008|titolo=Gone Phishing: Evaluating Anti-Phishing Tools for Windows|data=27 settembre 2006|accesso=20 ottobre 2006|editore=3Sharp}}</ref> Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy.<ref>{{Cita web|titolo=Two Things That Bother Me About Google's New Firefox Extension|sito=Nitesh Dhanjani on O'Reilly ONLamp|url=http://www.oreillynet.com/onlamp/blog/2005/12/two_things_that_bother_me_abou.html|accesso=1º luglio 2007|urlarchivio=https://web.archive.org/web/20071015004410/http://oreillynet.com/onlamp/blog/2005/12/two_things_that_bother_me_abou.html|dataarchivio=15 ottobre 2007|urlmorto=sì}}</ref> Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser,<ref>{{Cita web|autore=Higgins, Kelly Jackson|titolo=DNS Gets Anti-Phishing Hook|sito=Dark Reading|url=http://www.darkreading.com/document.asp?doc_id=99089&WT.svl=news1_1|accesso=8 ottobre 2006|urlarchivio=https://www.webcitation.org/612DwHoBd?url=http://www.darkreading.com/document.asp?doc_id=99089|dataarchivio=18 agosto 2011|urlmorto=no}}</ref> ed è simile all'uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini).
====Argomentare i login con password====
Il sito di [[Bank of America]]<ref>{{Cita web|autore=Bank of America|titolo=How Bank of America SiteKey Works For Online Banking Security|url=https://www.bankofamerica.com/|accesso=23 gennaio 2007|urlarchivio=https://www.webcitation.org/619zhkpkk?url=http://www.bankofamerica.com/privacy/sitekey/|dataarchivio=23 agosto 2011|urlmorto=no}}</ref><ref>{{Cita news|url=https://www.washingtonpost.com/wp-dyn/content/article/2005/07/13/AR2005071302181.html|cognome=Brubaker|nome=Bill|titolo=Bank of America Personalizes Cyber-Security|data=14 luglio 2005|editore=Washington Post}}</ref> è uno dei molti siti che ha adottato questo sistema, consiste nel far scegliere all'iscrizione un'immagine all'utente, e mostrare questa immagine ad ogni login successivo. In questo modo essendo l'immagine nota solo all'utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Purtroppo però molti studi hanno suggerito che l'utente ignori la mancanza della sua immagine personale e immetta comunque la sua password.<ref>{{Cita news|cognome=Stone|nome=Brad|titolo=Study Finds Web Antifraud Measure Ineffective|url=https://www.nytimes.com/2007/02/05/technology/05secure.html?ex=1328331600&en=295ec5d0994b0755&ei=5090&partner=rssuserland&emc=rss|editore=New York Times|accesso=5 febbraio 2007|data=5 febbraio 2007}}</ref><ref>{{Cita web|autore=Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer|titolo=The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies|url=http://www.deas.harvard.edu/~rachna/papers/emperor-security-indicators-bank-sitekey-phishing-study.pdf|urlarchivio=https://web.archive.org/web/20080406062148/http://www.deas.harvard.edu/~rachna/papers/emperor-security-indicators-bank-sitekey-phishing-study.pdf|dataarchivio=6 aprile 2008|sito=IEEE Symposium on Security and Privacy, May 2007|accesso=5 febbraio 2007|data=May 2007|formato=PDF}}</ref>
====Eliminazione delle mail di phishing====
Si agisce su una delle fonti del phishing, nello specifico si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul [[apprendimento automatico]]<ref>{{Cita pubblicazione|doi=10.1016/j.asoc.2011.06.016|sito=Applied Soft Computing|titolo=Obtaining the Threat Model for E-mail Phishing|autore=Cleber K., Olivo , Altair O., Santin , Luiz S., Oliveira|data=July 2011|url=http://www.inf.ufpr.br/lesoliveira/download/ASOC2011.pdf|dataarchivio=2 gennaio 2013|formato=PDF|accesso=30 giugno 2016|urlarchivio=https://web.archive.org/web/20130102153945/http://www.inf.ufpr.br/lesoliveira/download/ASOC2011.pdf|urlmorto=sì}}</ref> e l'[[elaborazione del linguaggio naturale]] per classificare le mail a rischio.<ref>{{Cita web|sito=NYS Cyber Security Symposium|titolo=Phishing E-mail Detection Based on Structural Properties|autore=Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya|data=March 2006|url=http://www.albany.edu/iasymposium/2006/chandrasekaran.pdf|urlarchivio=https://web.archive.org/web/20080216101637/http://www.albany.edu/iasymposium/2006/chandrasekaran.pdf|dataarchivio=16 febbraio 2008|formato=PDF}}</ref><ref>{{Cita web|sito=Carnegie Mellon University Technical Report CMU-ISRI-06-112|titolo=Learning to Detect Phishing Emails|autore=Ian Fette, Norman Sadeh, Anthony Tomasic|data=June 2006|url=http://reports-archive.adm.cs.cmu.edu/anon/isri2006/CMU-ISRI-06-112.pdf|formato=PDF}}</ref> La verifica dell'indirizzo mail è un nuovo approccio.<ref name="DMARC">{{Cita web|titolo=Landing another blow against email phishing (Google Online Security Blog)|url=https://googleonlinesecurity.blogspot.jp/2012/01/landing-another-blow-against-email.html|accesso=21 giugno 2012}}</ref>
====Monitoraggio e blocco====
Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.<ref name=":3">{{Cita web|url=https://www.apwg.org/solutions.html#takedown|titolo=Anti-Phishing Working Group: Vendor Solutions|sito=Anti-Phishing Working Group|accesso=6 luglio 2006|urlarchivio=https://www.webcitation.org/5w9ZGndsq?url=http://www.antiphishing.org/solutions.html#takedown|dataarchivio=31 gennaio 2011|urlmorto=sì}}</ref> I singoli individui possono contribuire riportando tentativi di phishing,<ref name=":4">{{Cita news|nome=Robert|cognome=McMillan|url=http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.|titolo=New sites let users find and report phishing|editore=LinuxWorld|data=28 marzo 2006|urlmorto=sì|urlarchivio=https://web.archive.org/web/20090119153501/http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.|dataarchivio=19 gennaio 2009}}</ref> a servizi come Google,<ref name=":6">[https://www.google.com/safebrowsing/report_phish/ "Report phishing" page, Google]</ref><ref name=":7">[http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam How to report phishing scams to Google] {{webarchive|url=https://archive.is/20130414135047/http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam |data=14 aprile 2013 }} Consumer Scams.org</ref> cyscon o [[PhishTank]].<ref name=":5">{{Cita web|url=https://www.schneier.com/blog/archives/2006/10/phishtank.html|titolo=PhishTank|cognome=Schneier|nome=Bruce|wkautore=Bruce Schneier|sito=Schneier on Security|data=5 ottobre 2006|accesso=7 dicembre 2007|urlarchivio=https://www.webcitation.org/5w9ZHYbnJ?url=http://www.schneier.com/blog/archives/2006/10/phishtank.html|dataarchivio=31 gennaio 2011|urlmorto=no}}</ref> I'[[Internet Crime Complaint Center#External links|Internet Crime Complaint Center noticeboard]] raccoglie e gestisce allerte per [[ransomware]] e phishing.
====Verifica a 2 passaggi delle transazioni====
Prima di autorizzare operazioni sensibili viene mandato un messaggio telefonico<ref>[http://www.safesigner.com Using the smartphone to verify and sign online banking transactions], SafeSigner.</ref> con un codice di verifica da immettere oltre la password.
====Limiti della risposta tecnica====
Un articolo di [[Forbes]] dell'agosto [[2014]] argomenta che il phishing resiste alle tecnologie anti-phishing perché un algoritmo non può sopperire in modo completo alle incompetenze umane ("un sistema tecnologico per mediare a debolezze umane") .<ref>{{Cita web|titolo=Why You Are At Risk Of Phishing Attacks|sito=Forbes|url=https://www.forbes.com/sites/josephsteinberg/2014/08/25/why-you-are-at-risk-of-phishing-attacks-and-why-jp-morgan-chase-customers-were-targeted-this-week/|autore=Joseph Steinberg|wkautore=Joseph Steinberg|accesso=14 novembre 2014}}</ref>
== Casi giudiziari e prime condanne penali ==
Nel [[2007]] con sentenza del Tribunale di Milano<ref>Tribunale di Milano, sentenza del 10.12.2007 - est. Gamacchio (Giudice per l'udienza preliminare): cfr. R. Flor, ''Frodi identitiarie e diritto penale'', in ''Riv. giurisp. econ. az.'', 2008, 4, p. 184; A. Sorgato, I''l reato informatico: alcuni casi pratici'', in ''Giur. pen.'', 2008, 11, p. 40</ref> si è avuta, per la prima volta in Italia, la condanna di membri di una associazione transnazionale dedita alla commissione di reati di ''phishing''.<ref>https://support.apple.com/it-it/HT204759 Riconoscere ed evitare i messaggi di phishing, sito ufficiale Apple, 8 febbraio 2022]</ref> Tale sentenza è stata confermata in Cassazione nel 2011.
Nel [[2008]], con sentenza del Tribunale di Milano<ref>Tribunale di Milano, sentenza del 29.10.2008, est. Luerti (Giudice per l'udienza preliminare) in ''Corr. Mer.'', 2009, 3, pp. 285 e ss. con nota di F. Agnino, ''Computer crime e fattispecie penali tradizionali: quando il ''phishing'' integra il delitto di truffa''</ref>, si è invece pervenuti per la prima volta in Italia alla condanna per riciclaggio<ref>L. Ferrarella [http://archiviostorico.corriere.it/2009/gennaio/07/Soldi_trasferiti_online_riciclaggio__co_7_090107025.shtml , Soldi trasferiti online. «È riciclaggio»], in ''Corriere della Sera'', 7 gennaio 2009</ref> di soggetti che, quali ''financial manager'', si erano prestati alla attività di incasso e ritrasferimento di somme di denaro provento dei reati di ''phishing'' a danno dei correntisti italiani.<ref>F. Tedeschi, [http://www.osservatoriofinanziario.it/of/newslarge.asp?id=636&pagina=1 Lotta al cybercrime. Intervista esclusiva al magistrato a caccia delle nuove mafie]</ref>
Queste due sentenze hanno dunque indicato quali norme possono essere applicate a questo nuovo fenomeno criminale, dal momento che all'epoca in Italia il ''phishing'' non era ancora specificatamente regolamentato, a differenza di altre legislazioni - prima fra tutte quella americana - che possiedono norme penali incriminatrici ''ad hoc''.<ref>S. Aterno, F. Cajani, G. Costabile, M. Mattiucci, G. Mazzaraco, ''Computer Forensics e indagini digitali'', Experta, 2011</ref>
Solo con la modifica dell'art. 640-ter c.p. (intervenuta con legge 15 ottobre 2013, n. 119) si è avuto un primo intervento normativo idoneo a ricomprendere anche tale particolare fattispecie di furto di identità.<ref>{{Cita pubblicazione|autore=F. Cajani|titolo=La tutela penale dell’identità digitale alla luce delle novità introdotte dal d.l. 14 agosto 2013 n. 93 (convertito con modificazioni dalla l. 15 ottobre 2013, n. 119)|rivista=Cassazione penale|volume=3, 2014, pp. 1094 ss}}</ref>
== Risarcimento economico dei danni provocati ==
Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al [[risarcimento]] delle somme prelevate indebitamente a causa di una violazione dell{{'}}''account'' Internet dei clienti, o della clonazione dei loro bancomat o carte di credito. Un recente provvedimento del [[Giudice dell'udienza preliminare|GUP]] di [[Milano]], del 10 ottobre [[2008]], ha stabilito che solo l'esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all'ente la qualifica di danneggiato dal reato.
[[File:Phishing chart Oct 2004 to June 2005.svg|thumb|Grafico raffigurante il numero di "phishing" tra il 2004 e il 2005]]
I singoli contratti per l'apertura di un conto corrente e la ''[[home banking]]'' possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate. Spesso, l'istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa [[riassicurazione]] è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.
L'istituto rifiuta generalmente il risarcimento se il cliente, oltre a perdere la carta, ha smarrito anche il [[Codice PIN|PIN]] di accesso; in modo analogo, per la ''home banking'' rifiuta di risarcire le somme se il cliente ha smarrito la ''[[password]]'' di accesso insieme al ''token''. Ciò configura negligenza da parte del cliente e l'eventualità del [[dolo]] e [[truffa]] all'istituto di credito: il cliente potrebbe cedere a terzi i propri dati e la carta, i quali, d'accordo col cliente, potrebbero effettuare dei prelievi, mentre il titolare dichiara lo smarrimento o il furto.
Tuttavia la banca (o altro istituto o società) ha l'onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l'utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi.
Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l'utente del danno. La Raccomandazione europea n. 489 del [[1997]] stabilisce che dalla data della comunicazione alla banca di aver subito una truffa (con allegazione della denuncia alla polizia), il titolare del conto non può essere ritenuto responsabile dell'uso che viene fatto del suo conto da parte di terzi, per cui i soldi sottratti devono essergli restituiti.
== Come proteggersi dal Phishing ==
La regola numero uno, che è necessario tenere a mente quando si naviga su Internet, è quella di fare molta attenzione ai link, e in particolare al modo in cui l'indirizzo ([[Uniform Resource Locator|URL]]) è scritto.<ref>[https://www.pandasecurity.com/it/mediacenter/sicurezza/phishing-minaccia-reale/ Come riconoscere il Phishing, pandasecurity.it, 23 agosto 2018]</ref> Specialmente quando il link ci viene presentato in un messaggio inviato via email, o da sistemi di messaggistica istantanea, anche da persone che conosciamo e di cui ci fidiamo. Questi messaggi possono essere inviati da account compromessi e piccoli errori di "spelling" sono spesso usati dai criminali per trarre in inganno chi li riceve.
Qualora il sito sia notoriamente sicuro e richieda l'inserimento di dati personali, oppure del numero della carta di credito, occorre sempre verificare non solo che la connessione<ref>[https://www.cybersecurity360.it/nuove-minacce/phishing-cose-e-come-proteggersi-la-guida-completa/ Come difendersi dal Phishing, cybersecurity360.it, 29 maggio 2018]</ref> sia sicura ([[HTTPS]]), ma anche che il sito web sia effettivamente il sito che dice di essere, controllando attentamente l'indirizzo. Secondo alcune ricerche, oggi più del 70% dei siti di phishing usa connessioni sicure<ref>{{Cita web|url=https://apwg.org/trendsreports/|titolo=Anti-Phishing Working Group - Reports}}</ref>.
Sul web esistono diversi portali che si occupano della lotta alla disinformazione e alle truffe diffuse mediante il web, che consentono di tenersi informati sulle truffe in atto al fine di evitare di cadere nelle trappole dei truffatori.
==
<references />
== Voci correlate ==
* [[Truffa alla nigeriana]]
* [[Scam (truffa)|Scam]]
* [[Skimmer]]
* [[Pharming]]
* [[Vishing]]
* [[Trashing]]
* [[Whaling]]
* [[Tabnabbing]]
* [[Keylogger]]
* [[Script kiddie]]
* [[Cracker (informatica)]]
* [[Cracking (informatica)]]
* [[Ingegneria sociale]]
* [[Social Network Poisoning]]
== Altri progetti ==
{{interprogetto}}
== Collegamenti esterni ==
* {{cita web|https://tecnologia.libero.it/cose-il-phishing-una-pericolosa-truffa-ecco-come-non-abboccare-2276|Cos'è il phishing ? Ecco come non abboccare}}
* {{cita web|https://www.informaticapertutti.com/che-cose-il-phishing-come-funziona-e-come-difendersi|Che cos'è il phishing ? Come funziona e come difendersi}}
* {{cita web|https://www.cisco.com/c/it_it/products/security/email-security/what-is-phishing.html|Esempi di attacchi di phishing e definizione}}
* {{cita web | 1 = https://www.commissariatodips.it/segnalazioni/index.html | 2 = Polizia Postale: segnalazioni}}
{{Controllo di autorità}}
{{Portale|Internet|sicurezza informatica}}
[[Categoria:Software malevoli]]
[[Categoria:Tecniche di attacco informatico]]
[[Categoria:Pratiche illegali]]
[[
| |||