Cerca nel blog

2005/10/07

Nuova terminologia: dopo il phishing, arriva lo spear phishing

Secondo un articolo di IBM, sta sviluppandosi una nuova forma di attacco, simile al phishing ma più mirato.

Il phishing si basa sul mandare centinaia di migliaia di e-mail generici che simulano di provenire da una banca o da eBay o da altra organizzazione che gestisce soldi, nella speranza di trovare a casaccio qualche utente di quell'organizzazione che sia sufficientemente malaccorto da rispondere all'invito a fornire i propri codici segreti. La nuova forma di attacco, denominata spear phishing (letteralmente, "pesca con la fiocina" o "phishing con la fiocina"), è invece calibrata specificamente sulla vittima.

Lo spear phishing è in genere condotto dall'interno del sistema. Per esempio, un dipendente di una ditta (che conosce i dettagli personali degli altri dipendenti) manda a ciascuno dei propri colleghi un e-mail che si spaccia per una comunicazione interna, che ordina loro di cambiare password e di inviarla via e-mail all'indirizzo appositamente fornito. L'indirizzo, ovviamente, non è quello dell'amministratore della sicurezza, ma uno che gli somiglia, creato dal dipendente-aggressore.

Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti. Nel phishing tradizionale, i messaggi iniziano con un vago "caro correntista" e simili. I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già tutte queste informazioni personali.

Per difendersi occorre, come sempre, cautela e un po' di buon senso. Qualunque richiesta di dati personali e specialmente di codici d'accesso che ci arriva via e-mail va trattata con la massima diffidenza e verificata usando un canale di comunicazione alternativo: per esempio, una telefonata al responsabile aziendale della sicurezza o all'ente che apparentemente ha inviato il messaggio di richiesta.

Nessun commento: