Phishing: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 21:28, 4 nov 2023 modifica 79.42.43.201 (discussione) Nessun oggetto della modifica Etichetta: Annullato ← Differenza precedente		Versione attuale delle 08:59, 28 lug 2025 modifica annulla 78.213.100.199 (discussione) →Storia Etichette: Modifica da mobile Modifica da web per mobile
(20 versioni intermedie di 17 utenti non mostrate)
Riga 3: ]] Il '''phishing''' è ~~una~~un tipo di [[truffa]] ~~informatica,~~ effettuata su [[Internet]], diattraverso la quale un malintenzionato ~~che~~ cerca di ingannare la vittima convincendola a fornire [[Informazione\|informazioni]] personali, dati finanziari o codici di accesso, ~~fingendo di essere~~fingendosi un ente affidabile in una comunicazione digitale.<ref name=":0">{{Cita libro\|titolo=Handbook of Information and Communication Security\|autore-capitolo=Zulfikar Ramzan\|curatore=Peter Stavroulakis\|curatore2=Mark Stamp\|url=https://www.google.it/books/edition/Handbook_of_Information_and_Communicatio/I-9P1EkTkigC\|editore=Springer\|città=Berlino\|mese=gennaio\|anno=2010\|lingua=en\|capitolo=Phishing attacks and countermeasures\|isbn=978-3-642-04116-7\|accesso=16 febbraio 2022}}</ref><ref name=":1">{{Cita pubblicazione\|titolo=Characteristics and responsibilities involved in a Phishing attack\|autore=Alta van der Merwe\|autore2=Marianne Loock\|autore3=Marek Dabrowski\|rivista=WISICT '05: Proceedings of the 4th international symposium on Information and communication technologies\|città=Città del Capo\|anno=2005\|mese=gennaio\|pp=~~249–254~~249-254\|lingua=en\|isbn=978-1-59593-169-6\|url=https://dl.acm.org/doi/abs/10.5555/1071752.1071800\|accesso=16 febbraio 2022\|abstract=sì}}</ref> Il termine phishing è una variante di ''fishing'' (letteralmente "pescare" in [[lingua inglese]]),<ref>{{Cita web\|url=https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/\|titolo=Spam Slayer: Do You Speak Spam?\|autore=Tom Spring\|data=20 novembre 2003\|lingua=en\|accesso=16 febbraio 2022\|dataarchivio=16 febbraio 2022\|urlarchivio=https://web.archive.org/web/20220216163807/https://www.pcworld.idg.com.au/article/62168/spam_slayer_do_speak_spam_/\|urlmorto=sì}}</ref> probabilmente influenzato da ''[[phreaking]]''<ref>{{Cita web\|url=http://dictionary.oed.com/cgi/entry/30004304/\|titolo="phishing, n." OED Online, March 2006, Oxford University Press.\|autore=Oxford English Dictionary Online\|data=\|accesso=}}</ref><ref>{{Cita web\|url=http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html\|titolo=Phishing\|autore=\|data=\|accesso=}}</ref> e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente. La parola può anche essere collegata al linguaggio [[leet]], nel quale la lettera f è comunemente sostituita con ph.<ref>{{Cita news\|autore=Anthony Mitchell\|titolo=A Leet Primer\|pubblicazione=http://www.technewsworld.com/story/47607.html.\|editore=TechNewsWorld\|data=12 luglio 2005}}</ref> La teoria popolare che si tratti di un [[Parola macedonia\|portmanteau]] di ''password harvesting''<ref>{{Cita web\|url=http://www.honeynet.org/papers/phishing/\|titolo=Know your Enemy: Phishing\|autore=\|data=\|accesso=8 luglio 2006\|urlarchivio=https://web.archive.org/web/20180320200819/http://www.honeynet.org/papers/phishing\|dataarchivio=20 marzo 2018\|urlmorto=sì}}</ref> è un esempio di [[pseudoetimologia]]. == Descrizione == Si tratta di un'attività illegale che sfrutta una tecnica di [[ingegneria sociale]]: il malintenzionato effettua un invio massivo di messaggi che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i [[SMS\|messaggi SMS]]. Il phishing è una minaccia attuale, il rischio è ancora maggiore nei social media come [[Facebook]], [[Instagram]], [[TikTok]] e [[Twitter]]. Degli hacker potrebbero infatti creare un clone del sito e chiedere all'utente di inserire le sue informazioni personali. Gli hacker comunemente traggono vantaggio dal fatto che questi siti vengono utilizzati a casa, al lavoro e nei luoghi pubblici per ottenere le informazioni personali o aziendali. Secondo un’indagine realizzata nel 2019, solo il 17,93 per cento degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o SMS contenenti link malevoli o siti web che replicano delle pagine legittime).<ref>{{Cita web\|url=https://www.lastampa.it/tecnologia/idee/2020/01/01/news/phishing-e-cifratura-tra-i-buoni-propositi-per-il-2020-mettiamo-anche-la-sicurezza-informatica-1.38276349\|titolo=Phishing e cifratura: tra i buoni propositi per il 2020 mettiamo anche la sicurezza informatica}}</ref> == Storia == Una tecnica di phishing è stata descritta nel dettaglio in un trattato presentato nel 1987 all'''International [[Hewlett-Packard\|HP]] Users Group'', [[Interex]].<ref>{{Cita pubblicazione\|autore=Felix, Jerry and Hauck, Chris \|titolo=System Security: A Hacker's Perspective \|rivista=1987 Interex Proceedings \|data=September 1987 \|volume=8 \|p=6}}</ref> La prima menzione registrata del termine phishing è sul [[newsgroup]] di [[Usenet]] ''alt.online-service.america-online'' il 2 gennaio [[1996]]<ref>{{Cita web\|url=http://dictionary.oed.com/cgi/entry/30004303/\|titolo="phish, v." OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online\|autore=\|data=\|accesso=}}</ref>, malgrado il termine possa essere apparso precedentemente nell'edizione stampata della rivista per [[hacker]] ''2600''.<ref>{{Cita web\|url=http://www.technicalinfo.net/papers/Phishing.html\|titolo=The Phishing Guide: Understanding and Preventing Phishing Attacks\|autore=Ollmann, Gunter\|data=\|accesso=}}</ref> ~~In accordo con~~Secondo Ghosh ci sono stati {{formatnum:445004}} attacchi nel 2012, {{formatnum:258461}} nel 2011 e {{formatnum:187203}} nel 2010, mostrando che la minaccia del phishing è in aumento. {\| class="wikitable sortable" border="1" Riga 264: ===Prime azioni di phishing su AOL=== Il phishing su [[AOL]] era strettamente connesso alla comunità warez che scambiava software senza licenza. AOHell, rilasciato all'inizio del 1995, era un programma con lo scopo di attaccare gli utenti di AOL fingendosi un rappresentante della compagnia AOL. Nel tardo 1995 AOL applicò misure per prevenire l'~~aperture~~apertura di account usando carte di credito false, generate tramite algoritmo. I ''cracker'' iniziarono ad attaccare i veri utenti con lo scopo di ottenere i loro profili. ===Transizione a operazioni più ampie=== L'aver ottenuto gli account di AOL poteva aver permesso ai phishers l'utilizzo improprio delle carte di credito, ma ha soprattutto portato alla realizzazione che potessero essere attuabili attacchi verso sistemi di pagamento. Il primo attacco diretto conosciuto contro un sistema di pagamento è stato ad E-Gold nel giugno 2001, che è stato seguito da "post-9/11 id check". Entrambi vennero visti al tempo come fallimenti, ma possono essere ora visti come primi esperimenti per attacchi più complessi per banche tradizionali. Nel settembre 2003 c'è stato il primo attacco a una banca, ed è stato riportato da [[The Banker (rivista)\|The Banker]] in un articolo scritto da Kris Sangani intitolato "Battle Against Identity Theft."<ref>{{Cita pubblicazione\|cognome=Sangani \|nome=Kris \|titolo=The Battle Against Identity Theft \|rivista=The Banker \|data=September 2003 \|volume=70 \|numero=9 \|pp=53-54}}</ref>. Nel 2004 il phishing era riconosciuto come una parte completamente affermata dell'economia del [[crimine]]: emersero specializzazioni su scala globale per portare a termine le operazioni, che venivano sommate per gli attacchi finali.<ref>{{Cita web \|titolo=In 2005, Organized Crime Will Back Phishers \|sito=IT Management \|url=http://itmanagement.earthweb.com/secu/article.php/3451501 \|data=23 dicembre 2004 \|urlarchivio=https://www.webcitation.org/5w9YVyMYn?url=http://itmanagement.earthweb.com/secu/article.php/3451501 \|dataarchivio=31 gennaio 2011 \|urlmorto=sì }}</ref><ref>{{Cita web \|titolo=The economy of phishing: A survey of the operations of the phishing market \|autore=Abad, Christopher \|wkautore=Christopher Abad \|sito=First Monday \|url=http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 \|data=September 2005 \|accesso=30 giugno 2016 \|urlarchivio=https://web.archive.org/web/20111121113128/http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/article/view/1272/1192 \|dataarchivio=21 novembre 2011 \|urlmorto=sì }}</ref> Riga 312: ====Lista dei tipi di phishing==== ; Phishing: Il '''phishing''' è un tipo di '''[[truffa]]''' effettuata su [[Internet]] attraverso la quale un malintenzionato cerca di ottenere [[Informazione\|informazioni]] personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.~~<ref>[https://www.aranzulla.it/come-difendersi-dal-phishing-1551485.html~~ ~~Come difendersi dal phishing, aranzulla.it, 4 novembre 2023]</ref>~~ ; Spear phishing: Un attacco mirato verso un individuo o una compagnia è stato denominato '''spear phishing'''.<ref>{{Cita web \|titolo=What is spear phishing? \|sito=Microsoft Security At Home \|url=https://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx \|accesso=11 giugno 2011 \|urlarchivio=https://web.archive.org/web/20110806061136/http://www.microsoft.com/canada/athome/security/email/spear_phishing.mspx \|dataarchivio=6 agosto 2011 \|urlmorto=sì }}</ref> Gli attaccanti potrebbero cercare informazioni sull'obiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.<ref>{{Cita web\|cognome1=Stephenson \|nome1=Debbie \|titolo=Spear Phishing: Who’s Getting Caught? \|url=http://www.firmex.com/blog/spear-phishing-whos-getting-caught/ \|editore=Firmex \|accesso=27 luglio 2014}}</ref> ; Clone phishing: È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata. Le parti modificate della mail sono volte a ingannare il ricevente. Questo attacco sfrutta la fiducia che si ha nel riconoscere una mail precedentemente ricevuta. Riga 351: ==Anti-phishing== Fino al 2007 l'adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa.<ref>{{Cita pubblicazione\|cognome=Baker\|nome=Emiley\|autore2=Wade Baker\|autore3=John Tedesco\|titolo=Organizations Respond to Phishing: Exploring the Public Relations Tackle Box\|rivista=Communication Research Reports\|anno=2007\|volume=24\|numero=4\|p=327\|doi=10.1080/08824090701624239}}</ref> Ora ci sono molte tecniche per combattere il phishing, incluse leggi e tecnologie create ad hoc per la protezione. Queste tecniche includono passi che possono essere usati sia da individui che da organizzazioni<ref>{{Cita web\|autore=Giada Mazzucco\|url=https://www.shellrent.com/blog/cosa-fare-in-caso-di-attacco-phishing/\|titolo=Cosa fare in caso di attacco phishing\|data=31 Luglio 2024}}</ref>. Telefoni, siti web e email di phishing possono essere riportati alle autorità, come descritto in [[#Monitoraggio e blocco\|questa]] sezione. Riga 380: ====Monitoraggio e blocco==== Molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing.<ref name=":3">{{Cita web\|url=https://www.apwg.org/solutions.html#takedown\|titolo=Anti-Phishing Working Group: Vendor Solutions\|sito=Anti-Phishing Working Group\|accesso=6 luglio 2006\|urlarchivio=https://www.webcitation.org/5w9ZGndsq?url=http://www.antiphishing.org/solutions.html#takedown\|dataarchivio=31 gennaio 2011\|urlmorto=sì}}</ref> I singoli individui possono contribuire riportando tentativi di phishing,<ref name=":4">{{Cita news\|nome=Robert\|cognome=McMillan\|url=http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.\|titolo=New sites let users find and report phishing\|editore=LinuxWorld\|data=28 marzo 2006\|urlmorto=sì\|urlarchivio=https://web.archive.org/web/20090119153501/http://www.linuxworld.com.au/index.php/id;1075406575;fp;2;fpid;1.\|dataarchivio=19 gennaio 2009}}</ref> a servizi come Google,<ref name=":6">[https://www.google.com/safebrowsing/report_phish/ "Report phishing" page, Google]</ref><ref name=":7">[http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam How to report phishing scams to Google] {{webarchive\|url=https://archive.~~today~~is/20130414135047/http://consumerscams.org/scam_safety_tips/how_to_report_phishing_scam \|data=14 aprile 2013 }} Consumer Scams.org</ref> cyscon o [[PhishTank]].<ref name=":5">{{Cita web\|url=https://www.schneier.com/blog/archives/2006/10/phishtank.html\|titolo=PhishTank\|cognome=Schneier\|nome=Bruce\|wkautore=Bruce Schneier\|sito=Schneier on Security\|data=5 ottobre 2006\|accesso=7 dicembre 2007\|urlarchivio=https://www.webcitation.org/5w9ZHYbnJ?url=http://www.schneier.com/blog/archives/2006/10/phishtank.html\|dataarchivio=31 gennaio 2011\|urlmorto=no}}</ref> I'[[Internet Crime Complaint Center#External links\|Internet Crime Complaint Center noticeboard]] raccoglie e gestisce allerte per [[ransomware]] e phishing. ====Verifica a 2 passaggi delle transazioni====