{"id":38270,"date":"2014-05-05T22:16:33","date_gmt":"2014-05-05T22:16:33","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=38270"},"modified":"2017-06-09T14:12:28","modified_gmt":"2017-06-09T13:12:28","slug":"spear-phishing-truffe-online-personalizzate","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/spear-phishing-truffe-online-personalizzate\/38270\/","title":{"rendered":"Spear Phishing: le truffe online personalizzate e pericolose"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a1c69310b497\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a1c69310b497\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/spear-phishing-truffe-online-personalizzate\/38270\/#Dal_Phishing%E2%80%A6\" >Dal Phishing&#8230;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/spear-phishing-truffe-online-personalizzate\/38270\/#%E2%80%A6allo_Spear_Phishing\" >&#8230;allo Spear Phishing<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/spear-phishing-truffe-online-personalizzate\/38270\/#La_soluzione_prendere_liniziativa\" >La soluzione: prendere l&#8217;iniziativa<\/a><\/li><\/ul><\/nav><\/div>\n<p>Una mail sgrammaticata che chiede informazioni personali con dei link strani e loghi posticci. Un invito su un social che ti chiama per nome, cita qualcosa che conosci e che coinvolge un amico su cui sei collegato su Facebook. E&#8217; la differenza che corre fra il <strong>Phishing e lo Spear Phishing<\/strong>,<strong> attacchi mirati<\/strong> che risultano convincenti e devastanti, e che sono in rapida ascesa sul web.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Dal_Phishing%E2%80%A6\"><\/span>Dal Phishing&#8230;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Per capire le radici del fenomeno \u00e8 necessario per\u00f2 fare un passo indietro per comprendere il <strong>Phishing<\/strong>. Certo, quasi tutti sanno che si tratta di truffe online, ma spesso non si ha la giusta percezione del fenomeno: stiamo parlando di <strong>professionisti del raggiro<\/strong>, che utilizzano le pi\u00f9 antiche leve dell&#8217;animo umano, come la <strong>paura<\/strong> di una citazione da parte della polizia, della <strong>curiosit\u00e0<\/strong> di vedere foto di nostri amici in pose strane o <strong>l&#8217;interesse<\/strong> di uno strepitoso rimborso o promozione, e che portano gli utenti a consegnare le credenziali di accesso ai propri profili.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38310\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/money-graphics-2007_877977a-300x233.jpg\" alt=\"money-graphics-2007_877977a\" width=\"300\" height=\"233\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/money-graphics-2007_877977a-300x233.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/money-graphics-2007_877977a.jpg 450w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/>Il tempo in cui arrivava una mail alla quale si rispondeva con la propria password \u00e8 passato: ora la consegna di informazioni avviene in maniera pi\u00f9 subdola ed indiretta. Gli utenti <strong>vengono redirezionati a siti appositamente costruiti<\/strong>, che molto spesso sono davvero ben fatti, credibili e tradotti nella nostra lingua.<\/p>\n<p>A volte ci sono percorsi, moduli da compilare, un vero <strong>labirinto<\/strong> che lentamente ci convince che stiamo facendo qualcosa di conveniente, ma non per noi. E quando la truffa, il furto di identit\u00e0 o il prelievo sul conto corrente arriva veramente, si tratta di qualcosa di molto meno virtuale. Soldi messi da parte da un pensionato <strong>spariti<\/strong>, viaggi annullati, <strong>ore perse dai carabinieri<\/strong>, documenti da cambiare.<\/p>\n<p>Il giro d&#8217;affari che c&#8217;\u00e8 dietro \u00a0a tutto questo <strong>\u00e8 semplicemente enorme<\/strong>, ed \u00e8 secondo solo a quelli della criminalit\u00e0 organizzata. Un esempio concreto giunge leggendo e ragionando su un <strong><a href=\"http:\/\/docs.apwg.org\/reports\/APWG_GlobalPhishingSurvey_1H2013.pdf\">documento dell&#8217;APWG<\/a><\/strong>: in un anno sono stati identificati <strong>115mila siti<\/strong> che utilizzano un marchio noto per truffare, e si tratta di una piccola parte del tutto. Ognuno di questi siti ha in realt\u00e0 una vita breve, meno di 8 ore. Immaginiamo che ogni sito, in ogni ora di vita, abbia truffato 100 utenti, un numero ridicolo rispetto a quello reale: si tratta di<strong> 800 utenti truffati da un dominio<\/strong>, per un totale di <strong>92 milioni di vittime di phishing all&#8217;anno<\/strong>.<\/p>\n<p>I guadagni sono stratosferici: un <strong>rapporto Trusteer<\/strong> conferma come un phisher guadagni da <strong>1.7 milioni a 6.8 milioni di euro<\/strong> per ogni milione di clienti truffati che abbiano un conto in banca. \u00a0Se solo il<strong> 40% dei 92 milioni precedenti viene derubato<\/strong>, stiamo parlando di una cifra dai<strong> 62.5 ai 250.6 milioni di euro all&#8217;anno<\/strong> che finiscono nelle tasche dei truffatori, e ripetiamo che abbiamo fatto calcoli volutamente ed esageratamente al di sotto della media.<\/p>\n<p>Alcuni casi concreti fanno capire che nella rete dei <strong>phisher<\/strong> finisce chiunque: la cittadina italiana di Imperia \u00e8 stata colpita da ripetuti tentativi di frode: una\u00a0media di 20 truffe portate a termine con successo al mese, con un bottino che si attesta al di sopra dei 3000 euro. Ma ha destato scalpore anche il caso dei frati salesiani, che si sono visti prosciugare il conto corrente su cui erano depositate le donazioni per i poveri da un gruppo di criminali capeggiati da un italiano, fermati appena poche ore prima della fuga.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"%E2%80%A6allo_Spear_Phishing\"><\/span>&#8230;allo Spear Phishing<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Se alcuni piccoli ragionamenti ci permettono di capire cosa si nasconde dietro alla parola <strong>Phishing<\/strong>, ora possiamo comprendere in cosa consista lo Spear Phishing. Le normali tecniche di truffa online tendono infatti a standardizzare la comunicazione, per colpire il massimo numero di persone possibili: \u00e8 per questo che solitamente una mail truffa cita i termini sia al maschile che al femminile, non usa nomi precisi e tende spesso ad essere malamente tradotta in italiano.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38311\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/Phishing-007-300x180.jpg\" alt=\"Phishing-007\" width=\"300\" height=\"180\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/Phishing-007-300x180.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/Phishing-007.jpg 460w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/>Lo<strong> Spear Phishing \u00e8 invece una tecnica avanzata<\/strong>, che parte dall&#8217;analisi dei social network delle persone, con strumenti pi\u00f9 o meno automatici: lo scopo \u00e8 quello di <strong>raccogliere le informazioni<\/strong> personali che noi regaliamo beatamente al web, al fine di creare dei messaggi particolarmente personalizzati e credibili, e per questo enormemente <strong>pi\u00f9 convincenti e pericolosi.<\/strong><\/p>\n<p>Se anche uno sprovveduto butterebbe una mail con il classico avviso di scadenza di un conto postale, o un problema di accesso sulla carta, anche un navigato utente potrebbe fidarsi di un messaggio che lo chiama per <strong>nome e cognome<\/strong>, in perfetto italiano, citando il nome del luogo dove vive, assieme magari al suo numero di telefono. O ancora: riconoscere un messaggio su <strong>Facebook<\/strong> che ci dice: &#8220;Leggi qui: link&#8221; \u00e8 facile, molto pi\u00f9 difficile discernere un invito fatto dall&#8217;account che sembra essere <strong>di un amico a cui siamo collegati<\/strong>, che ci chiama per nome e ci invita a cliccare un link su un oggetto o prodotto che abbiamo dimostrato in precedenza di gradire <strong>con un Like su una pagina<\/strong>, ad esempio.<\/p>\n<p>Vediamo un altro esempio concreto: in questa mail un americano \u00e8 stato contattato da uno <strong>Spear Phisher<\/strong>. Il distretto in cui la persona abita davvero, con il nome, l&#8217;azienda per cui lavora e il telefono sono estremamente convincenti. Stavolta, siamo sicuri che prima di cestinare la mail ci pensereste due volte, convinti che vi abbiano citato come testimone in tribunale.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-38273\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/04\/spear_phished.jpg\" alt=\"spear_phished\" width=\"500\" height=\"346\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/spear_phished.jpg 500w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/spear_phished-300x208.jpg 300w\" sizes=\"auto, (max-width: 500px) 100vw, 500px\" \/><\/p>\n<p>Per capire l&#8217;efficacia dello<strong> Spear Phishing,<\/strong> basta pensare che una vecchia regola dell&#8217;invio di mail pubblicitarie dice che ogni 1000 mail spedite si ottengono 10 click, ma con questo approccio la percentuale sale a 66 click: e i guadagni rendono bene, visto che uno Spear Phisher \u00e8 in grado di estorcere pi\u00f9 di <strong>31mila dollari per ogni vittima.<\/strong><\/p>\n<h3><span class=\"ez-toc-section\" id=\"La_soluzione_prendere_liniziativa\"><\/span>La soluzione: prendere l&#8217;iniziativa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-38312\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/05\/phishing400-300x300.jpg\" alt=\"phishing400\" width=\"240\" height=\"240\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400-300x300.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400-150x150.jpg 150w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400-50x50.jpg 50w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400-200x200.jpg 200w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400-144x144.jpg 144w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/phishing400.jpg 400w\" sizes=\"auto, (max-width: 240px) 100vw, 240px\" \/>I consigli per evitare questo tipo di problemi sono sempre gli stessi: bisogna prevenire, evitando di diffondere dati che poi potrebbero essere usati per ingannarci, e poi stare attenti, avere sale in zucca, usare il buon senso, e altri proverbi. Ma durante la navigazione \u00e8 oramai quasi impossibile non far emergere una nostra identit\u00e0 che possa essere usata contro di noi. Un rimedio migliore <strong>consiste invece nell&#8217;iniziativa.<\/strong><\/p>\n<p>Innanzitutto dovreste stare attenti se siete professionisti con incarichi di rilievo: lo spear phishing preferisce evitare di sparare nel mucchio, per colpire in modo mirato, motivo per cui <strong>posizioni aziendali o professionali di rilievo<\/strong> vi rendono vittime ben pi\u00f9 appetibili di altre.\u00a0L&#8217;unico modo per disinnescare questo tipo di attacchi \u00e8 poi quello di non rispondere in maniera automatica, ad una mail, ad un link che ci viene proposto, anche ad una telefonata.<\/p>\n<p>Individuate piuttosto il mittente del messaggio e prendete voi l&#8217;iniziativa: create <strong>una nuova mail<\/strong> digitando il nome del destinatario, cercate il contenuto che vi viene offerto da un link <strong>su un motore di ricerca<\/strong>, o nel caso della mail dell&#8217;americano, <strong>telefonate<\/strong> in tribunale. Cercate insomma di rompere qualsiasi cosa che sia automatica, uscite dal circuito creato dalla mente del mittente, e eseguite sempre azioni personali e dirette. Se qualcosa non va, diventer\u00e0 immediatamente evidente, e voi avrete avuto, oltre al vantaggio di non perdere denaro, anche la gratificazione di essere sfuggiti ai truffatori pi\u00f9 furbi.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una mail sgrammaticata che chiede informazioni personali con dei link strani e loghi posticci. Un invito su un social che ti chiama per nome, cita qualcosa che conosci e che coinvolge un amico su cui sei collegato su Facebook. E&#8217; la differenza che corre fra il Phishing e lo Spear Phishing, attacchi mirati che risultano [&hellip;]<\/p>\n","protected":false},"author":10,"featured_media":38309,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"pmpro_default_level":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1413],"tags":[259],"class_list":["post-38270","post","type-post","status-publish","format-standard","has-post-thumbnail","category-attualita","tag-phishing","pmpro-has-access"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/05\/spear_phishig.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=38270"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38270\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/38309"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=38270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=38270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=38270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}