Lo sneaky phishing è una forma di attacco di phishing particolarmente subdola (sneaky vuol dire letteralmente subdolo) e sofisticata.
A differenza delle classiche campagne di phishing, che possono essere evidenti e relativamente semplici da individuare, lo sneaky phishing utilizza tecniche avanzate per ingannare gli utenti e superare i sistemi di difesa.
Questi attacchi richiedono una maggiore consapevolezza e misure di sicurezza rafforzate per essere identificati e prevenuti efficacemente.
Ecco alcune caratteristiche tipiche dello sneaky phishing:
- Utilizza e-mail o messaggi che appaiono estremamente autentici, spesso replicando perfettamente la comunicazione di entità legittime.
- Può includere metodi per aggirare la doppia autenticazione, come il furto di codici SMS, che sono spesso utilizzati per proteggere gli account.
- Gli attacchi sono spesso mirati, prendendo di mira individui o organizzazioni specifiche per massimizzare l’efficacia dell’attacco.
- Creazione di siti web falsi che imitano quelli legittimi in modo da indurre gli utenti a inserire le loro credenziali.
Indice degli argomenti
Sneaky phishing: analisi della truffa
I ricercatori del Certfa Lab individuarono nel 2019 una campagna di sneaky phishing in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.
L’attacco fu condotto dal gruppo criminale iraniano Charming Kitten, già salito agli onori della cronaca per aver hackerato, nel 2017, i server dell’emittente televisiva americana HBO diffondendo i nuovi episodi della serie TV “Il trono di spade”.
Prima di questo attacco informatico, l’autenticazione a due o più fattori (two-factor authentication o multi-factor authentication, abbreviati anche con le sigle 2FA e MFA) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking.
D’altronde, applicare una protezione simile è un gioco da ragazzi, ma questo non significa che tutti i metodi per farlo sono ugualmente sicuri.
Difendersi dagli attacchi di sneaky phishing: i consigli degli esperti
I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci per proteggere i propri account on-line, ma quanto accadde durante la campagna di sneaky phishing dei Charming Kitten confermò che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi utenti, a meno che non sia stata impostata su vecchi account Gmail.
I gestori di password rappresentano una valida alternativa perché provvedono a compilare i campi password nei form on-line solo quando rilevano il dominio corretto.
Di gran lunga più sicuro, inoltre, utilizzare un token hardware FIDO U2F o FIDO2 in quanto può essere bypassato solo accedendo fisicamente alla secure key.
Ce lo conferma anche Raphael Vallazza Ceo di Endian:
“I casi di attacchi di sneaky phishing dimostrano come anche la Two Factor Authentication, se fatta tramite SMS, è vulnerabile ad attacchi di phishing e man-in-the-middle: è possibile, infatti, introdursi con finalità malevole nella comunicazione tra l’utente e il servizio/server attaccato, oppure in certi casi clonare la SIM della vittima. La misura migliore per evitare che ciò accada è usare un’autenticazione tramite token (come per esempio Yubikey o U2F), che prevede la cifratura totale della comunicazione tra i servizi anche in fase di autenticazione”.
Secondo Fabrizio Croce, Area Director South Europe WatchGuard Technologies, “già da tempo si stigmatizzava come sistemi di autenticazione ritenuti forti (o almeno più forti) per superare il paradigma delle password fossero non inviolabili. L’autenticazione basata su invio di un testo di controllo (SMS o e-mail) può essere facilmente vittima di attacchi di man in the middle. Anche l’utilizzo di token hardware per generare una OTP (One-Time Password) è un sistema violabile, in caso di smarrimento del dispositivo o di un suo furto, perché non è legato al possessore: in questo caso, si ricade nel solito problema del crack di una password debole”.
“La nuova tendenza”, continua Croce, “è quella di disporre di un sistema di autenticazione multi-fattore o MFA: qualcosa che conosci (password, PIN), qualcosa che hai (token, mobile phone), qualcosa che sei (fingerprint, riconoscimento facciale ecc.). L’utilizzo di token distribuiti in cloud su dispositivi mobili sembra essere una soluzione di facile implementazione a costi estremamente contenuti, quindi possibile anche per piccolissime aziende. Consideriamo, infatti, che il furto di identità è una piaga reale: si implementano sistemi di sicurezza costosi e complessi, ma l’anello debole della catena rimane una singola password scelta spesso dall’utente stesso”.
“La frenesia di tutti i giorni, ci porta inevitabilmente ad abbassare la guardia e i pilastri della sicurezza che fino ad oggi sembravano inossidabili, cominciano a sbriciolarsi sotto l’assedio dei cyber criminali”, è il commento di Andrea Muzzi, Technical Manager F-Secure Corporation.
“La parola d’ordine, in questi casi, è: dinamicità”, continua Muzzi. “Come per la sicurezza, anche noi utenti dobbiamo esserlo sempre di più per riuscire a stare al passo con le nuove minacce. Quello che valeva ieri non è detto che oggi mi garantisca la sicurezza di cui ho bisogno. Sempre di più bersagliati da nuovi malware tecnologicamente avanzati, attacchi mirati e in questo turbinio di cyber-tecnologia-malevola, non ci rendiamo conto che questi super criminali sfruttano ancora con successo classici strumenti d’attacco come il phishing: un attore di primo piano negli attacchi, un intramontabile strumento per sfruttare la disattenzione della maggior parte degli utenti”.
Come difendersi dallo sneaky phishing
Ecco, quindi, gli utili consigli che Andrea Muzzi suggerisce al nostro sito per difendersi dallo sneaky phishing:
- prima di tutto se dovessimo ricevere una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto. Ho cambiato qualche parametro nei settaggi del mio account? Sto creando un account o mi sono registrato ad un nuovo servizio? Niente di tutto questo? La cestino immediatamente, si tratta sicuramente di una e-mail pericolosa;
- disabilitiamo il caricamento in automatico delle immagini, a maggior ragione nei nostri programmi di posta locali o nel web. Alcuni fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
- se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, soprattutto a bordo dei nostri dispositivi mobili, non possiamo prescindere dal verificarne la provenienza. È sempre meglio utilizzare “store ufficiali” per i nostri download;
- nel caso in cui, invece, la sicurezza sia qualcosa di imprescindibile, valutiamo l’idea di utilizzare dei token fisici. Questa soluzione potrebbe offrirci una maggiore sicurezza andando ad aggiungere, in caso di violazione, un’ulteriore componente fisica”.
Utili suggerimenti da tenere sempre a mente perché, come citava un noto personaggio, il business non dorme mai. E questo vale anche per il cyber crime.
Come proteggere i dati online
Lo sneaky phishing è noto per la sua capacità di ingannare gli utenti in modi sottili per rubare informazioni sensibili. Gestori di password come NordPass possono contribuire a migliorare la sicurezza online memorizzando le password in modo sicuro e avvisando gli utenti di potenziali minacce.
NordPass: archiviazione sicura delle password
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: XChaCha20
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ✓
Prezzo: da 1,29 €/mese
Nel panorama sempre più complesso della sicurezza digitale NordPass si distingue come un gestore di password completo, pensato per semplificare la vita degli utenti e proteggere al meglio le informazioni sensibili. Tra le funzionalità principali troviamo il salvataggio e la compilazione automatica delle credenziali, l’archiviazione sicura, la sincronizzazione su più dispositivi, il controllo della salute delle password e uno scanner per eventuali violazioni di dati. A questo si aggiunge la possibilità di allegare file in modo sicuro e utilizzare il mascheramento e-mail per proteggere la propria identità digitale.
Anche le aziende possono beneficiare delle potenzialità di NordPass grazie a piani dedicati che includono funzionalità avanzate come le impostazioni di gestione centralizzata, l’integrazione con Google Workspace SSO, una dashboard per la sicurezza IT, cartelle condivise per team e il supporto per i principali provider di Single Sign-On, tra cui Entra ID, Microsoft ADFS e Okta.
NordPass propone offerte promozionali interessanti su tutti i suoi abbonamenti principali. Il piano Premium individuale è disponibile con sconti sulla tariffa mensile, mentre il piano Family, che consente l’uso fino a sei utenti, è anch’esso acquistabile a un prezzo ridotto. Tutte le opzioni includono una garanzia “soddisfatti o rimborsati” di 30 giorni, che consente di provare il servizio senza alcun rischio.
NordLocker: condividere file in sicurezza
⚡ Velocità upload: Veloce
🔄️ Accesso ai file offline: ✔️
💰 Costo: da 2,99 €/mese
📱 Mobile: Android, iOS
💻 Desktop: Windows, macOS
🔐 Sicurezza: AES-256
🧑💻 Facilità di utilizzo: Molto facile
🔥 Offerte attive: SCONTO fino al 53%
NordLocker si propone come una soluzione per proteggere, sincronizzare e condividere file in totale sicurezza. Il servizio si basa su una crittografia end-to-end che assicura la protezione dei contenuti sia localmente che nel cloud garantendo che solo il proprietario possa accedervi.
Oltre alla semplice archiviazione NordLocker offre funzionalità avanzate come il backup automatico e la sincronizzazione multi-dispositivo, per accedere ai propri file ovunque e in qualunque momento. È possibile anche condividere documenti criptati con altri utenti mantenendo la riservatezza e il controllo totale sui contenuti.
Per chi cerca supporto costante, il servizio include un servizio clienti attivo 24/7, con assistenza prioritaria dedicata agli abbonati Premium. Attualmente, è disponibile una promozione del 53% di sconto sul piano Premium annuale, che include 500 GB di spazio cloud criptato. L’offerta è accompagnata da una garanzia di rimborso di 30 giorni, permettendo di testare la piattaforma senza alcun rischio.
1Password: condividere password in sicurezza
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: AES-256
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ❌
Prezzo: da 2,65 €/mese
Nell’era dei mille account online ricordare tutte le password è diventato un compito impossibile. E affidarsi a combinazioni semplici o ripetute è una delle principali cause di violazioni di sicurezza. Con 1Password tutte le tue credenziali vengono salvate e compilate automaticamente direttamente nel browser, evitandoti lo stress di doverle ricordare. Ma non solo: grazie a un generatore integrato, puoi creare password forti e uniche per ogni servizio, che vengono poi sincronizzate in modo sicuro su tutti i tuoi dispositivi.
L’interfaccia intuitiva consente anche di condividere password e dati sensibili in modo protetto, anche con chi non utilizza 1Password. Una funzione utile per famiglie, team e collaboratori.
Funzionalità principali e vantaggi:
- Crittografia end-to-end: Tutti i tuoi dati sono protetti sia durante la trasmissione che a riposo. Solo tu puoi accedere alle tue informazioni: 1Password non le condivide né le vende;
- 1Password Watchtower: Ricevi avvisi automatici se le tue password risultano vulnerabili o se uno dei siti che usi è stato compromesso;
- Archiviazione completa: Oltre alle credenziali, puoi salvare in modo sicuro indirizzi, carte di credito, chiavi SSH, token API e altre informazioni sensibili;
- Condivisione sicura: Invia password e dati personali senza rischio di esposizione, anche a utenti esterni al servizio;
- Compatibilità universale: Disponibile su Windows, macOS, Linux, Android, iOS e su browser come Chrome, Firefox, Safari, Edge e Brave;
- Supporto dedicato: Un team globale è sempre disponibile, con risorse gratuite e assistenza continua.
1Password propone piani personalizzati per utenti singoli, famiglie e aziende, con funzionalità pensate per ogni esigenza. Ogni abbonamento include una prova gratuita di 14 giorni, per testare il servizio senza impegno.
Incogni: meno spam e truffe
Incogni è un servizio automatizzato che aiuta a rimuovere i propri dati da centinaia di database gestiti da data broker e siti di ricerca persone. L’obiettivo è ridurre il rischio di spam, truffe online e furti d’identità restituendo agli utenti il controllo sulla propria privacy.
Basta fornire a Incogni le informazioni di base richieste per attivare il servizio. A quel punto, il sistema avvia una scansione continua dei siti e database potenzialmente in possesso dei tuoi dati. Se vengono rilevate corrispondenze Incogni investe al posto tuo tempo e risorse per inviare richieste ufficiali di rimozione anche nei casi più complessi.
I siti di ricerca persone, ad esempio, permettono a chiunque di cercare dati personali partendo anche solo da un nome. Questo significa che senza saperlo potresti avere profilazioni pubbliche visibili a estranei, contenenti dati come recapiti personali, relazioni familiari, interessi, attività lavorative passate o altre informazioni sensibili. Con Incogni queste informazioni vengono identificate e richieste per la rimozione automatica sollevandoti dall’onere legale e tecnico.
Incogni propone diverse formule di abbonamento per adattarsi a ogni esigenza:
- Piano Individuale Annuale o Mensile;
- Piano Family & Friends Annuale o Mensile ideale per proteggere anche i dati di familiari o persone care, fino a 4 utenti.
Tutti i piani sono coperti da una garanzia soddisfatti o rimborsati di 30 giorni, così puoi provare il servizio senza preoccupazioni.
Kaspersky Plus: con l’AI è più facile proteggere i dati
Massimo dispositivi: 5
Versione Free: Prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: inclusa
Offerte attive: SCONTO fino al 45% 🔥
Difendersi dalle minacce informatiche non è più una scelta ma una necessità. Kaspersky Plus risponde a questa esigenza con una soluzione di sicurezza avanzata, capace di proteggere ogni aspetto della vita online grazie a una combinazione di intelligenza artificiale all’avanguardia e strumenti pensati per la protezione, la privacy e le prestazioni.
Grazie a tecnologie proattive, Kaspersky è in grado di rilevare e bloccare anche le minacce sconosciute, assicurando una protezione costante e aggiornata contro virus, malware, ransomware e software spia.
Kaspersky lavora in tempo reale per:
- Difendere la tua privacy bloccando tentativi di accesso non autorizzato alla webcam e tracciamenti online;
- Proteggere i tuoi pagamenti online, attivando un browser sicuro durante acquisti o operazioni bancarie;
- Monitorare la rete domestica, impedendo intrusioni e verificando la sicurezza di siti web e e-mail prima dell’apertura.
Funzionalità principali di Kaspersky Plus
- Sicurezza avanzata: Protezione anti-phishing, firewall integrato e difesa contro le minacce più recenti, per un’esperienza online senza rischi;
- Strumenti per le prestazioni: Ottimizzazione del sistema e monitoraggio dello stato del disco rigido, per mantenere i dispositivi sempre efficienti e reattivi;
- Privacy e gestione dei dati: Una VPN illimitata per navigare in modo sicuro e privato, un Password Manager per custodire credenziali e dati sensibili in modo centralizzato e criptato.
Kaspersky Plus è disponibile per tutti i principali sistemi operativi: Windows, macOS, Android e iOS. Che tu stia usando uno smartphone, un computer o un tablet, la protezione è garantita.
Norton: sicurezza anche su dispositivi mobili
Massimo dispositivi: 10
Versione Free: prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: ✔
Offerte attive: SCONTO fino al 66% (per il primo anno) 🔥
Smartphone e tablet sono diventati vere e proprie estensioni della nostra identità digitale ma spesso sono trascurati dal punto di vista della sicurezza. Norton protegge i dispositivi mobili dalle minacce più comuni – come app dannose, phishing e reti Wi-Fi compromesse – offrendo una difesa avanzata per ogni momento della giornata.
Norton AntiVirus Plus con password manager
- Protezione per 1 dispositivo (PC o Mac)Difesa contro virus, malware, ransomware e hacker
- Password Manager per gestire credenziali in modo sicuro
- Backup nel cloud da 2 GB (solo per PC)
- Promessa Protezione Virus 100%: rimborso garantito se il virus non può essere rimosso
Norton 360 Standard
- Protezione per 1 dispositivo (PC, Mac, Android o iOS);
Tutto ciò che è incluso in AntiVirus Plus, più: - VPN sicura per una navigazione privata;
- SafeCam per bloccare l’accesso non autorizzato alla webcam (su PC);
- Backup nel cloud da 10 GB
Norton 360 Deluxe
- Protezione per fino a 5 dispositivi;
Include tutte le funzionalità di Standard, più: - Parental Control per monitorare e proteggere l’attività online dei minori
- Dark Web Monitoring: notifica se i tuoi dati personali vengono trovati nel Dark Web
- Backup nel cloud da 50 G
Norton 360 Advanced
- Protezione per fino a 10 dispositivi;
Oltre alle funzioni di Deluxe, aggiunge: - Assistenza per il ripristino dell’identità in caso di furto;
- Supporto in caso di furto del portafoglio;
- Monitoraggio dei social media per rilevare attività sospette;
- Backup nel cloud da 200 GB.
Tutti i piani Norton includono la Promessa Protezione Virus 100%: se Norton non riesce a rimuovere una minaccia, l’utente ha diritto al rimborso. Una garanzia che conferma l’impegno dell’azienda verso la sicurezza totale degli utenti.
Autenticazione a 2 fattori con SMS: la frode è più facile
Proprio l’autenticazione basata su SMS è stata minata da vari attacchi man-in-the-middle e man-in-the-browser, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.
Nel 2019 una campagna criminale di sneaky phishing colpì importanti funzionari del governo degli Stati Uniti, scienziati nucleari, giornalisti e attivisti dei diritti umani. In particolare, gli analisti di Certfa furono in grado di individuare i server utilizzati dai criminal hacker sui quali era memorizzata una lista di 77 indirizzi e-mail con dominio Gmail e Yahoo, alcuni dei quali apparentemente compromessi con successo nonostante l’attivazione della doppia autenticazione con verifica degli SMS.
Lo sneaky phishing, in questo caso, fu “costruito” attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account utilizzando un indirizzo dall’aspetto plausibile, come ad esempio notifications.mailservices@gmail.com.
In pratica, i criminal hacker sfruttarono il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i propri utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente: capita, ad esempio, quando ci si collega all’account Gmail dal computer dell’ufficio anziché dal proprio smartphone.
Una tecnica, quella usata dai creatori della campagna di sneaky phishing, tanto semplice quanto efficace per trarre in inganno le inconsapevoli vittime. Ma i criminal hacker, ovviamente, non si sono accontentati, escogitando altri sistemi di violazione degli account:
- pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google;
- invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare il sistema anti-phishing di Google;
- tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto beacon che viene ospitato e monitorato da un sito web esterno (i marketer hanno usato questa tecnica per anni, motivo per cui è una buona idea disattivare il caricamento automatico delle immagini in programmi come Gmail).
Sistemi a doppia autenticazione: l’SMS non è più sicuro
Per compromettere i sistemi a doppia autenticazione i criminal hacker sono stati in grado di verificare “al volo” le password e i nomi utente delle vittime per controllare se la modalità di protezione era attiva. Se lo era, e presumibilmente è stato così per la maggior parte dei loro bersagli, i criminal hacker hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime.
Sembra semplice, ma il diavolo è nel dettaglio. A quanto pare, infatti, i criminal hacker furono in grado di scoprire anche le ultime due cifre del numero di telefono indicato dalla vittima per l’eventuale recupero dell’accesso al servizio. Questo è servito loro per creare pagine di verifica di Google o Yahoo ancora più verosimili.
