search Il media che reinventa l'impresa

Decifrare l'attacco di phishing per non abboccare!

Decifrare l'attacco di phishing per non abboccare!

Da Ainhoa Carpio-Talleux

Il 30 aprile 2025

Allarme rosso per le nostre caselle di posta elettronica: gli attacchi di phishing sono aumentati. Secondo i dati APWG, gli attacchi di phishing sono passati da 877.536 nel secondo trimestre del 2024 a 989.123 nel quarto trimestre.

Non si tratta solo di un aumento, ma di una vera e propria marea di attacchi di phishing che sta travolgendo le nostre organizzazioni. Sono finiti i messaggi rozzi e pieni di errori di ortografia di un hacker nigeriano che voleva condividere la sua fortuna. Oggi i criminali informatici mettono in atto strategie sofisticate che ingannano anche i professionisti più esperti.

Per affrontare questo problema, scopriamo cos'è il "phishing", le sue diverse forme e come evitarlo in un attacco.

Che cos'è un "attacco di phishing"?

Attacco di phishing: definizione

Il phishing è una tecnica di hacking progettata per rubare informazioni sensibili fingendo di essere una persona o un'entità fidata. È una tecnica di attacco informatico molto comune, che colpisce sia i singoli che le grandi aziende. Ma ovviamente, più grande è il pesce, meglio è per gli hacker.

A cosa mirano gli attacchi di phishing?

Questi hacker, o più precisamente "truffatori" in gergo, hanno diversi obiettivi:

  • Rubare i vostri dati personali o professionali.
  • Assumere l'identità dell' obiettivo per commettere frodi.
  • Entrare in un sistema informatico e installare un cavallo di Troia o un altro software dannoso.
  • sottrarre denaro tramite bonifici bancari fraudolenti.
  • Accedere ad account personali e professionali: e-mail, social network, servizi web, ecc.

Esempio di attacco di phishing

Nel 2024, secondo il rapporto Arctic Wolf, il 70% delle aziende ha segnalato attacchi BEC (Business Email Compromission ) . Il risultato? Quasi il 29% di esse ha subito almeno un attacco andato a buon fine.

Caso di studio di un attacco di phishing nel 2025

Nel febbraio 2023, un'azienda francese ha perso circa 38 milioni di euro dopo che il reparto contabilità ha risposto a un'e-mail che sembrava provenire dagli avvocati e dall'amministratore delegato, chiedendo loro di effettuare 45 bonifici in totale innocenza. (fonte: Radio France)

L'e-mail era perfettamente formulata, utilizzava i loghi, le firme e i riferimenti interni corretti e citava persino un vero e proprio progetto riservato in corso all'interno dell'organizzazione.

Questo sofisticato attacco dimostra quanto siano diventate professionali le tecniche di phishing e rappresenta una grave minaccia per la sicurezza informatica della vostra azienda.

L'ABC di un attacco di phishing: come funziona

Un attacco di phishing può assumere diverse forme (vedi sotto). Ma a prescindere dalla forma, il processo tipico prevede diverse fasi.

1. Preparazione

L'hacker raccoglie informazioni sul suo obiettivo (azienda, personale, abitudini) attraverso i social network o il web. Questa è la fase di ricognizione. Il pescatore identifica il pesce per armarsi dell'esca migliore da mettere all'amo. In altre parole, personalizzerà l'attacco, il che non garantisce il successo, ma ne aumenterà drasticamente la percentuale di riuscita.

2. Creazione dell'esca

Sviluppo di un messaggio credibile che imiti un'organizzazione legittima. Questo messaggio può provenire da una banca, da un dipartimento IT interno, da un provider Internet, ecc.

L'hacker riprodurrà fedelmente le caratteristiche dell'organizzazione:

  • L'identità visiva (logo, carta grafica).
  • Il tono e lo stile di comunicazione abituale.
  • Le firme ufficiali e i dati di contatto.
  • Domini web simili (ad esempio amazon-security.com invece di amazon.com).

3. Distribuzione (lancio dell'amo)

Invio di massa o mirato di un messaggio contenente un link dannoso o un allegato infetto. Ogni giorno vengono inviate nel mondo non meno di 3,4 miliardi di e-mail di phishing , che rappresentano l' 1,2% di tutte le e-mail secondo l'AAG.

Secondo le sue statistiche, tutti devono aver ricevuto un attacco di phishing almeno una volta nella vita. I più fortunati non l'avranno visto (perché sarà finito nello spam). I più sfortunati saranno le vittime e se ne accorgeranno troppo tardi.

4. Manipolazione

Incoraggiare la vittima a cliccare sul link o ad aprire l'allegato utilizzando tecniche di social engineering:

  • Creare un senso di urgenza ("Il tuo account sarà bloccato entro 24 ore").
  • Sfruttare la curiosità ("Guarda chi ha consultato il tuo profilo").
  • Sfruttamento della paura ("Rilevato un tentativo di connessione sospetto").
  • Appello all'avidità ("Hai vinto un iPhone 15").

5. Compromissione

Raccolta degli identificativi inseriti nel sito fake o installazione di codice maligno sul dispositivo della vittima. Questa fase è generalmente invisibile all'utente, che pensa di interagire con un servizio legittimo.

6. Sfruttamento

A seconda della forma di phishing, i dati vengono sfruttati in modi diversi.

  • Utilizzo dei dati rubati per accedere ai conti.
  • Effettuare trasferimenti fraudolenti.
  • Lanciare altri attacchi di rete all'interno dell'organizzazione.

💡 Lo sapevate? L'intelligenza artificiale è diventata un formidabile alleato dei criminali informatici. Le tecniche più recenti includono la clonazione vocale (replicare la voce di un amministratore delegato al telefono) e i deepfake (creare video falsi di una persona fidata). Queste tecnologie rendono gli attacchi infinitamente più convincenti e difficili da rilevare per un servizio di sicurezza.

I tipi più comuni di attacco di phishing

Nel corso degli anni, gli hacker hanno perfezionato le loro tecniche per renderle sempre più specifiche ed efficaci.

Ma il principio è sempre lo stesso. L' hacker è un pescatore. Il phishing è sia l'esca che l'amo. E il bersaglio/vittima è il pesce. Per evitare queste trappole, è necessario capire come funzionano.

Ecco le tecniche o i metodi di attacco di phishing più comunemente utilizzati.

1. Phishing via e-mail - Il classico senza tempo

Il phishing via e-mail rimane il modus operandi preferito dagli hacker. È il più facile da mettere in atto e il più diffuso. Le persone sono le prede più facili da colpire. In linea di massima, un'organizzazione con un responsabile IT non avrà problemi a evitarlo.

Come riconoscerlo?

Dato il numero di e-mail commerciali che un'azienda può ricevere ogni giorno o ogni settimana, è facile perdersi. Ma ci sono alcuni segnali di allarme.

Prima di cliccare su un link di posta elettronica o di scaricare un file, verificate quanto segue:

  • Indirizzo del mittente sospetto (guardare oltre il nome visualizzato).
  • Errori ortografici impercettibili (spesso nel dominio del mittente).
  • Saluti generici ("Gentile cliente" invece del vostro nome).
  • Link il cui URL rivela una destinazione diversa quando ci si passa sopra il mouse.
  • Allegati con estensioni dubbie (.zip, .exe, .bat).

Esempio tipico : un'e-mail che imita la vostra banca vi chiede di "confermare i vostri dati bancari in seguito a un aggiornamento della sicurezza".

2. Spear phishing - L'attacco su misura

A differenza del phishing di massa, lo spear phishing si rivolge a individui specifici con messaggi personalizzati. L'hacker utilizza informazioni pubbliche o interne (LinkedIn, pubblicazioni aziendali, organigrammi) per creare un messaggio totalmente personalizzato per l'obiettivo. Si tratta di un ulteriore promemoria dell'importanza di scegliere le informazioni giuste da divulgare su un social network.

Il tasso di successo di questi attacchi mirati è 10 volte superiore a quello del phishing tradizionale, perché sono realizzati con cura ed estremamente credibili. Lo spear phishing è oggi una delle principali minacce ai dati aziendali sensibili.

In pratica, può assumere la forma di :

  • Ampia personalizzazione (menzione di colleghi, progetti in corso).
  • Riferimento a eventi reali dell'azienda (magari adulteri).
  • Individuazione precisa delle persone che hanno accesso a dati sensibili.
  • Perfetta imitazione dello stile di comunicazione dell'organizzazione.

Quindi, se qualcuno invia: "Luke, sono tuo padre", è un segno.

3. La caccia alla balena - La caccia al pesce grosso

Perché puntare al pesce piccolo quando si può puntare alla grande balena bianca (Moby Dick)? La caccia alla balena prende di mira in particolare i massimi dirigenti di un'organizzazione.

Questi attacchi di phishing sono preparati meticolosamente ed estremamente credibili, spesso dopo settimane di studio del comportamento e dello stile di comunicazione dell'obiettivo. Più grande è il pesce, migliore è la preparazione.

Questo dimostra quanto l 'hacking sia diventato avanzato.

I punti chiave per comprendere e identificare il whaling sono :

  • Messaggi personalizzati che evocano le responsabilità specifiche del dirigente.
  • Sfruttamento delle relazioni di potere all'interno dell'azienda.
  • Richieste finanziarie significative ma plausibili.
  • Uso dell'urgenza per aggirare i processi di verifica.

Esempio : una falsa e-mail del direttore finanziario all'amministratore delegato che richiede la convalida urgente di un trasferimento per "finalizzare l'acquisizione riservata" di cui avevano recentemente discusso.

4. Vishing - phishing vocale

Il vishing (phishing vocale) sfrutta le telefonate per manipolare le vittime. L'aggressore si finge un collega, un supporto tecnico o un partner bancario e sfrutta l'urgenza della situazione per indurvi a rivelare informazioni sensibili. Con il recente arrivo dell'intelligenza artificiale (voice AI), questa tecnica di phishing sta esplodendo tra le nuove tendenze dell'hacking.

Tecniche comuni

  • Spoofing per mostrare un numero legittimo.
  • Creazione di uno scenario di emergenza che richiede un'azione immediata.
  • Sfruttamento dell'autorità (falsa chiamata dal reparto IT o da un superiore).
  • Uso del rumore di fondo del call center per rafforzare la credibilità.

Un avvertimento tecnologico:

Gli strumenti di clonazione vocale basati sull'intelligenza artificiale hanno fatto esplodere questi attacchi nel 2024. Bastano pochi secondi di registrazione della voce di un dirigente (disponibile in interviste o webinar) per generare conversazioni complete che imitano perfettamente il suo tono e le sue intonazioni.

Cosa c'è di più preoccupante in tutto questo? Al momento non esiste una soluzione pronta per individuare questo tipo di hacking. Dobbiamo quindi rimanere vigili e tenere il passo con i progressi della tecnologia AI, che ogni mese (o addirittura ogni settimana) presenta sempre nuove tendenze.

5. Smishing - La trappola degli SMS

Chi ha detto che gli SMS sono passati di moda? Gli hacker non l'hanno certo detto! Lo smishing (phishing via SMS) sfrutta i messaggi di testo per indurre l'utente a cliccare su link dannosi. Questa tecnica sfrutta il fatto che gli SMS possono essere consultati quasi immediatamente dai loro destinatari e il formato breve rende più facile nascondere indizi sospetti.

Segni rivelatori

  • Numeri mittente sconosciuti o alfanumerici.
  • Messaggi brevi che creano un senso di urgenza ("Consegna in sospeso", "Pagamento rifiutato").
  • Link abbreviati che mascherano il vero URL di destinazione.
  • Errori ortografici o grammaticali impercettibili.

Secondo WIRED, nel 2024 il gruppo "Smishing Triad" ha condotto campagne in oltre 121 Paesi, utilizzando circa 200.000 domini per le proprie operazioni. Questi attacchi sono particolarmente efficaci per la loro brevità e il senso di urgenza che creano.

Il consiglio di sicurezza del giorno

Non cliccate mai direttamente su un link ricevuto via SMS. Se il messaggio sembra provenire da un'azienda legittima (banca, ufficio postale), ci sono due opzioni. Aprire da soli l'applicazione ufficiale o digitare manualmente l'indirizzo web in un browser.

Esempio di messaggi SMS che potreste ricevere:

6. Clone phishing - Copiare per ingannare meglio

Per gli aggressori, il clone phishing consiste nel duplicare le e-mail legittime degli utenti. Modificano i messaggi originali inserendo link o allegati dannosi. Le e-mail vengono poi inviate da account spoofati per farle apparire autentiche. In questo caso, gli aggressori falsificano l' indirizzo e-mail del mittente per inviare il messaggio clonato.

In generale, l'obiettivo del clone phishing è quello di indurre i destinatari a fornire informazioni sui loro dati bancari o personali.

Questa tecnica si basa principalmente sulla disattenzione delle vittime. Esistono 36 modi per proteggersi. Passare il mouse sui link prima di aprirli.

7. Pharming - hacking invisibile

Questo tipo di frode utilizza un codice maligno per reindirizzare le vittime verso siti web parassiti. L'obiettivo dell'hacker è rubare gli identificativi e i dati riservati della vittima.

Gli attacchi di pharming si verificano quando i criminali informatici manipolano il Domain Name System (DNS) o compromettono il dispositivo di un utente per reindirizzarlo a un sito web fraudolento.

A titolo informativo, il DNS è un sistema che traduce i nomi di dominio (www.example.com) in indirizzi IP in modo che i browser possano caricare il sito web corretto.

In un attacco di pharming, gli aggressori corrompono questo processo per reindirizzare gli utenti verso siti Web dannosi che imitano quelli legittimi.

In linea di principio, il pharming inizia con l' installazione di codice dannoso sul server della vittima. Una volta completato il codice, la vittima viene reindirizzata a un sito web contraffatto. Da lì, è probabile che condivida i propri dati sensibili o i dettagli di accesso.

Per evitare il pharming, si consiglia di utilizzare DNS sicuri (come Cloudflare o Google DNS). È inoltre opportuno utilizzare certificati SSL e attivare il protocollo DNSSEC.

8. Phishing attraverso i social network - Attacchi mascherati

Se pensate che scorrere su Tiktok e Instagram sia sicuro, non avete capito nulla. Gli attacchi su queste piattaforme si stanno moltiplicando, incoraggiando l'utente a divulgare informazioni personali.

Per prima cosa ricevete una notifica via e-mail che vi dice che dovete attivare un nuovo account, perché quello che avete già sta per scomparire (i famosi messaggi di Zuckerberg, avete presente?). Se abboccate all'amo, i vostri dati privati verranno violati.

☝️Faites Attenzione anche alle richieste di amicizia! Alcuni account falsi non vogliono la vostra amicizia, ma i vostri dati o il vostro denaro.

9. Phishing con codice QR - Quando una semplice scansione diventa una minaccia

I codici QR sono ovunque, dai supermercati ai siti web di formazione. Per gli hacker è sempre più facile attaccare l'utente utilizzando questi codici. I casi più comuni? Creano codici maligni che reindirizzano l'utente a un sito fraudolento.

Un codice QR incollato su un cartello "free WiFi"? È come un dolce avvelenato... non scansionatelo!

In pratica, il phishing con codice QR mira a indurre gli utenti a fornire informazioni riservate come i dati di accesso, i dati bancari o persino informazioni sulla propria identità.

🗣️Conseil: optate per scanner che includono un'anteprima del link (come Google Lens) e non scansionate mai un codice QR attaccato su un oggetto pubblico.

10. Phishing tramite applicazioni mobili - una truffa nel vostro smartphone

Il phishing tramite applicazioni mobili consiste nell'indurre l'utente a installare un gadget fraudolento che sembra esattamente un'applicazione legittima. Una volta installato, esso :

  • visualizza le interfacce di connessione utilizzate dalla vittima ;
  • raccoglie tutti i dati inseriti;
  • opera in background per monitorare l'attività dell'utente.

Alcuni fattori favoriscono questo attacco di phishing: schermi piccoli (che rendono difficile identificare gli URL dannosi), notifiche consultate rapidamente e connessioni automatiche.

Come evitare queste trappole? Smettete di seguire qualsiasi link che appare nel vostro feed di notizie di Facebook!

Come riconoscere e prevenire un attacco di phishing?

Se il phishing è una minaccia onnipresente nel mondo digitale, anche i segnali sono rivelatori. A volte siamo noi a scegliere di essere ciechi: errori ortografici e grammaticali, indirizzi e-mail che non includono i nomi di dominio, emergenze che non hanno nulla a che fare con l'urgenza e così via.

Supponiamo di ricevere un'e-mail che afferma di provenire dalla vostra banca e che vi chiede di controllare i vostri dati personali a causa di " attività sospette". Su due piedi, sareste tentati di rispondere! Risultato: siete in trappola!

Ora avete capito, ma i vostri dipendenti continuano a cliccare e a rispondere a qualsiasi e-mail! Ancora una volta, siete in trappola!

Cosa potete fare? Formazione e sensibilizzazione del personale! Non aprite più gli allegati infetti! Nessuno viene più stupidamente reindirizzato a un sito web fraudolento!

L'introduzione dell' autenticazione a due fattori (2FA) costituisce un' ulteriore barriera contro gliaccessi non autorizzati. Anche se una password è compromessa, la 2FA richiede una seconda verifica, rendendo molto più difficile l'accesso agli account da parte dei criminali informatici.

Dovreste anche prendere in considerazione soluzioni di sicurezza avanzate, come il software di filtraggio delle e-mail. In questo caso, siete voi a usare la rete per catturare i criminali. Invertiamo i ruoli, che ne dite?

Attacco di phishing: in breve!

In breve, il phishing rimane una delle minacce informatiche più temibili. Come dimostrano i dati di Netskope, il tasso di attacchi di phishing è aumentato notevolmente nel 2024.

In termini di funzionamento, il phishing consiste nell'invio di messaggi che sembrano provenire da un'azienda o da un sito web legittimo. Questi messaggi contengono generalmente un link che reindirizza l'utente a un sito web falso che sembra quello vero. All'utente viene quindi chiesto di inserire informazioni personali come i dati di accesso o il numero della carta di credito. Questo attacco può assumere diverse forme, dalle più classiche (phishing via e-mail) alle più sofisticate (whaling).

Per proteggersi dalle minacce informatiche, è consigliabile essere più vigili e, soprattutto, ricevere una formazione regolare. Anche l'adozione degli strumenti giusti (2FA, filtri anti-phishing) è uno scudo efficace. Detto questo, la sicurezza informatica deve rimanere una priorità collettiva (aziende e dipendenti) se vogliamo resistere all'ingegnosità dei criminali informatici.

Il phishing si sta evolvendo, ma anche la vostra vigilanza. Siete pronti a diventare un pesce troppo intelligente per gli hacker?

Articolo tradotto dal francese