Lo spear phishing è un tentativo mirato di rubare informazioni sensibili tramite e-mail ingannevoli. Questa guida esplora il funzionamento dello spear phishing, le sue tattiche e i rischi che comporta per gli individui e le organizzazioni.
Scopri le strategie efficaci per il rilevamento e la prevenzione. Comprendere lo spear phishing è fondamentale per salvaguardare i dati personali e aziendali.
Questo articolo esamina da vicino lo spear phishing: come funzionano in genere questi attacchi, come identificarli, le differenze tra lo spear phishing e altri attacchi di phishing e come le organizzazioni possono difendersi da essi.
Che cos'è lo spear phishing?
Lo spear phishing è un ingegneria sociale che prende di mira individui o organizzazioni specifici, in genere tramite e-mail dannose. L'autore della minaccia ricerca attentamente il bersaglio in modo che l'e-mail sembri provenire da un mittente affidabile.
Le e-mail di spear phishing utilizzano in genere varie tecniche di ingegneria sociale che convincono il destinatario ad aprire un link o un allegato dannoso. Una volta che il bersaglio ha obbedito, l'autore dell'attacco può raggiungere il suo obiettivo iniziale.
Come gli attacchi di phishing, gli attacchi di spear phishing mirano in genere a:
- Estrazione di informazioni personali: Alcune e-mail di spear phishing cercano di ottenere informazioni personali dai destinatari, come credenziali di accesso, informazioni bancarie o numeri di carte di credito.
- Installazione di malware: Altre e-mail di spear phishing inviano malware ai destinatari nella speranza che questi lo scarichino sui propri dispositivi.
A differenza delle truffe di phishing, che gettano una rete ampia, lo spear phishing è più sofisticato e coordinato. Questi attacchi spesso si basano sull'uso di informazioni familiari e personalizzate per infiltrarsi nelle organizzazioni con trappole su misura.
Esempi di attacchi di spear phishing
Lo spear phishing è un tipo di attacco informatico particolarmente efficace perché si basa su tecniche di ingegneria sociale per indurre le vittime a rivelare informazioni sensibili o a compiere azioni che consentono agli hacker di accedere ai loro sistemi.
Un esempio di attacco di spear phishing è l' attacco del 2021 che ha preso di mira agenzie governative e ONG ucraine. Un gruppo di cyber-spionaggio legato al governo russo noto come Gamaredon si è presentato come contatto fidato e ha utilizzato e-mail di spear phishing contenenti allegati macro infettati da malware. Le e-mail includevano anche un "web bug" di tracciamento per monitorare se i messaggi venivano aperti. Sebbene l'obiettivo finale di questo attacco di spear phishing sia ancora sconosciuto, la famiglia di malware utilizzata è spesso attribuita all'esfiltrazione di dati da host compromessi.
Un altro esempio di attacco di spear phishing è quello che ha preso di mira le agenzie governative portoricane nel 2020. Un autore della minaccia ha hackerato il computer di un dipendente dell'Employee Retirement System e ha inviato e-mail a varie agenzie governative sostenendo un cambiamento nei conti bancari. Un dipendente della Puerto Rico Industrial Development Company ha inviato 2,6 milioni di dollari a un conto estero credendo che fosse un conto bancario legittimo.
Come funziona lo spear phishing?
Gli autori delle minacce si affidano a tecniche di ricognizione nelle loro ricerche per aumentare le probabilità di successo di un attacco. Di conseguenza, le e-mail di spear phishing sono spesso difficili da individuare.
Gli autori di spear phishing possono frequentare siti di social media come Facebook o LinkedIn per raccogliere informazioni personali sul loro obiettivo. Alcuni autori delle minacce arrivano persino a mappare la rete di contatti personali e professionali del loro bersaglio per ottenere ulteriori informazioni contestuali quando creano un messaggio "affidabile". Gli aggressori più sofisticati utilizzano persino algoritmi di apprendimento automatico (ML) per scansionare enormi quantità di dati e identificare bersagli potenzialmente redditizi.
Una volta raccolte sufficienti informazioni personali sul bersaglio, gli autori dello spear phishing possono creare un'e-mail apparentemente legittima che attiri l'attenzione del bersaglio. Oltre ad essere personalizzate, le e-mail di spear phishing spesso utilizzano un tono di voce urgente. Questa combinazione pericolosa può indurre i destinatari ad abbassare la guardia.
Ecco i passaggi tipici spesso coinvolti negli attacchi di spear phishing:
1. Raccolta di informazioni (esca)
Trovare informazioni personali online può richiedere uno sforzo minimo. Per molti versi, la popolarità dei social mediaha contribuito al successo degli attacchi di spear phishing negli ultimi anni.
Ad esempio, i profili LinkedIn possono contenere luoghi di lavoro ed elenchi di colleghi. Anche se un profilo LinkedIn non mostra pubblicamente un indirizzo e-mail, può rendere più facile per gli autori delle minacce trovare tali informazioni.
Altri autori di minacce possono utilizzare script per raccogliere indirizzi e-mail da motori di ricerca importanti o piattaforme di generazione di lead per trovare gli indirizzi e-mail utilizzati dai dipendenti per lavoro. In alcuni casi, gli autori delle minacce possono semplicemente tentare di indovinare gli indirizzi e-mail utilizzando convenzioni standard per le e-mail di lavoro, come [email protected].
Oltre all'indirizzo e-mail del bersaglio, gli autori delle minacce cercheranno anche informazioni sull'organizzazione del bersaglio e tenteranno di scoprire quali software potrebbero utilizzare.
2. La richiesta (esca)
Una volta acquisite le informazioni necessarie sul bersaglio, può utilizzarle come esca per eseguire l'azione desiderata (ad esempio, cliccare su un link dannoso o scaricare un file dannoso).
Affinché un'e-mail di spear phishing arrivi nella casella di posta elettronica del bersaglio, deve prima superare qualsiasi software antivirus. Una rapida ricerca sull'organizzazione del bersaglio può fornire informazioni sufficienti su quale antivirus e quale versione di esso utilizza il datore di lavoro. Con queste informazioni a disposizione, gli autori delle minacce possono aggirare le difese di sicurezza informatica.
Una tattica di richiesta comune prevede l'uso di fatture false. In questo scenario, un autore della minaccia può inviare un'e-mail da una fonte "affidabile" che dice che c'è un problema con una fattura. Può fornire un link a un modulo digitale e chiedere al destinatario di aggiungere le informazioni corrette.Sebbene la fattura digitale non sia legittima, può sembrare identica a quella che il destinatario utilizza normalmente per inserire le informazioni finanziarie. Una volta ottenute le informazioni di pagamento della fattura, l'autore della minaccia può utilizzarle per rubare fondi o vendere tali informazioni sul dark web.
3. L'attacco (Catch)
Gli autori dell'attacco sono pronti ad agire una volta che l'esca e l'amo hanno avuto successo. Supponiamo che il destinatario fornisca informazioni riservate (ad esempio, credenziali di accesso o informazioni di pagamento). In questo caso, gli aggressori potrebbero utilizzarle per accedere a reti e sistemi, elevare i privilegi, rubare o compromettere ulteriori dati o persino vendere informazioni sensibili sul dark web.
Se il destinatario installa malware, gli aggressori potrebbero utilizzarlo per catturare le sequenze di tasti, bloccare l'accesso ai file o sottrarre dati e trattenerli per chiedere un riscatto.
Migliorare l'intelligence sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùSpear phishing vs. phishing vs. whaling
Sebbene lo spear phishing, il phishing e il whaling si basino su tecniche di ingegneria sociale simili per avere successo, esistono alcune differenze fondamentali tra i vari tipi di attacco.
Phishing
Come lo spear phishing, gli attacchi di phishing mirano a indurre le vittime a divulgare informazioni sensibili, come nomi utente e password, informazioni sui conti bancari, numeri di carte di credito o numeri di previdenza sociale. Questi attacchi spesso privilegiano la quantità rispetto alla qualità e di solito hanno una barriera di ingresso più bassa rispetto ad altri tipi di attacchi di ingegneria sociale.
Tuttavia, i messaggi contenuti nelle e-mail di phishing sono spesso piuttosto generici. Gli autori delle minacce spesso inviano e-mail di phishing a un ampio gruppo di individui o organizzazioni casuali per aumentare le possibilità che anche un solo destinatario cada vittima della truffa.
Sebbene potenzialmente meno redditizi dello spear phishing, tutti i tipi di attacchi di phishing possono essere estremamente costosi per le vittime. Altri tipi di phishing possono includere smishing, vishing, clone phishing, domain spoofing, URL phishing, watering hole phishing e evil twin phishing.
Whaling
Gli attacchi di whaling sono ancora più specifici degli attacchi di spear phishing. Questi attacchi prendono di mira individui di alto profilo – aka i "pezzi grossi" di un'azienda. Gli attacchi di whaling prendono di mira individui che hanno accesso a dati più sensibili, come dirigenti di alto livello, membri del consiglio di amministrazione o persino celebrità.
Poiché gli attacchi di whaling prendono di mira vittime di alto valore, spesso producono risultati di alto valore. Questo tipo di attacco elimina efficacemente gli intermediari, poiché gli obiettivi degli attacchi di whaling hanno spesso la possibilità di effettuare bonifici bancari diretti. Ciò può eliminare qualsiasi passaggio aggiuntivo che un aggressore potrebbe compiere per raggiungere il proprio obiettivo, riducendo così le possibilità di essere scoperto.lt;/p>
Gli attacchi di whaling possono anche avere conseguenze più significative per i singoli obiettivi. In molti casi, le "balene" arpionate con successo da un aggressore possono essere licenziate o costrette a dimettersi a causa della loro disattenzione.
Tipi di spear phishing & esempi
Un esame più attento degli esempi di spear phishing può aiutare a illustrare come gli autori delle minacce implementano tipicamente i passaggi sopra descritti.
Richieste false
Gli autori delle minacce possono inviare e-mail contenenti una richiesta diretta di informazioni o fondi. Queste richieste possono anche includere link o allegati, ma l'obiettivo di queste e-mail è quello di raccogliere informazioni sensibili direttamente dal destinatario.
Ad esempio, la città di Franklin, nel Massachusetts, ha accidentalmente indirizzato in modo errato un pagamento di 522.000 dollari nel 2020 dopo che gli autori delle minacce hanno convinto un dipendente a fornire informazioni di accesso sicure.
Siti web falsi
Gli autori delle minacce possono anche inviare e-mail contenenti link a siti web contraffatti. Il sito web contraffatto potrebbe imitare il layout di un sito affidabile per indurre il bersaglio a divulgare informazioni riservate come credenziali di accesso o informazioni finanziarie. L'autore della minaccia può quindi utilizzare tali informazioni per rubare direttamente dal bersaglio, utilizzare le credenziali del bersaglio per accedere alle reti o ai sistemi aziendali o vendere tali informazioni sul dark web.
Ad esempio, dall'introduzione di PayPal, si è registrato un forte aumento di messaggi di posta elettronica fraudolenti che avvisano gli utenti che qualcuno ha effettuato un acquisto con il loro conto PayPal. Cliccando sul link contenuto in queste e-mail, il destinatario viene spesso reindirizzato a un sito web PayPal contraffatto dove gli autori delle minacce possono rubare le informazioni di accesso inserite.
Allegati falsi
Gli allegati contenenti malware spesso assumono la forma di fatture o avvisi di consegna falsi. L'autore dell'attacco può esortare il destinatario ad aprirli il più rapidamente possibile per evitare conseguenze negative. Una volta che il destinatario apre l'allegato, il malware può essere inviato al dispositivo del bersaglio, da cui può poi diffondersi alla rete e ad altri dispositivi.
Ad esempio, la Corea del Nord’Lazarus Group sta conducendo una campagna che utilizza esche relative a posizioni aperte presso Crypto.com per distribuire malware per macOS.
Come identificare un attacco di spear phishing
Il modo migliore per prevenire un attacco di spear phishing è identificare un'e-mail di spear phishing prima di cliccare su qualsiasi link o aprire qualsiasi allegato. Acquisire familiarità con gli indicatori di un tentativo di spear phishing può aiutare le organizzazioni e i loro dipendenti a evitare le conseguenze di un attacco riuscito.
Ecco alcuni segnali di allarme comuni che possono indicare un attacco di spear phishing:
Mittente
Esaminate le e-mail in arrivo per determinare se provengono da mittenti legittimi. I segnali comuni che indicano che il mittente potrebbe stare effettuando un attacco di spear phishing includono:
- Un indirizzo e-mail o un mittente non riconosciuto.
- Un indirizzo e-mail esterno all'organizzazione del destinatario.
- Un indirizzo e-mail di un mittente interno all'organizzazione con cui il destinatario non comunica abitualmente.
- Un indirizzo e-mail proveniente da un dominio sospetto.
Destinatari
Successivamente, controlla chi altro è presente nell'elenco dei destinatari. Gli indicatori di un'e-mail di spear phishing possono includere:
- Un elenco di destinatari contenente altri indirizzi e-mail non riconosciuti.
- Un elenco di destinatari con un mix insolito di persone (ad esempio, un gruppo casuale di destinatari o un gruppo di destinatari i cui cognomi iniziano tutti con la stessa lettera).
Data e ora
Controlla quando il mittente ha inviato l'e-mail. I segni di un'e-mail di spear phishing potrebbero includere:
- Un'e-mail inviata in una data insolita (ad esempio, un fine settimana o un giorno festivo).
- Un'e-mail inviata in un orario insolito (cioè non durante il normale orario di lavoro).
Oggetto
L'oggetto di un'e-mail può dire molto al destinatario sulla veridicità o meno dell'e-mail. Le e-mail di spear phishing possono contenere quanto segue:
- Un oggetto insolitamente urgente.
- Un oggetto irrilevante o che non corrisponde al resto dell'e-mail.
- Una risposta a qualcosa che non è mai stato inviato o richiesto.
Collegamenti ipertestuali e allegati
Prima di cliccare sui link o scaricare allegati contenuti nelle e-mail, cerca i segni comuni dello spear phishing, tra cui:
- Un collegamento ipertestuale che mostra l'indirizzo di un sito web diverso quando ci si passa sopra con il mouse.
- Un collegamento ipertestuale lungo senza ulteriori istruzioni.
- Un collegamento ipertestuale con errori di battitura non evidenti a prima vista.
- Un allegato e-mail inaspettato o che non ha senso nel contesto del contenuto dell'e-mail.
- Un allegato con un tipo di file potenzialmente pericoloso.
- Un allegato senza ulteriori istruzioni.
Contenuto
Se tutto il resto è a posto, esamina attentamente il contenuto dell'e-mail. Le e-mail di spear phishing sono spesso ben costruite e, poiché sono anche personalizzate, può essere difficile identificarle solo in base al contenuto.
Tuttavia, quando leggi il corpo del messaggio, tieni presente i seguenti indicatori di un'e-mail di spear phishing:
- L'e-mail trasmette un senso di urgenza insolito.
- L'e-mail richiede informazioni sensibili.
- L'e-mail chiede al destinatario di cliccare su un link o aprire un allegato per ottenere qualcosa di valore o evitare conseguenze negative.
- L'e-mail contiene errori ortografici o grammaticali.
- L'e-mail contiene link o allegati non richiesti.
- L'e-mail cerca di spaventare il destinatario.
Come difendersi dagli attacchi di spear phishing
Ecco alcuni consigli sullo spear phishing che le organizzazioni possono utilizzare per rafforzare le loro difese di sicurezza informatica.
Riconoscere i segni dello spear phishing
Il modo migliore per prevenire qualsiasi attacco di phishing è identificare un'e-mail di phishing prima che qualcuno clicchi su un link, scarichi un allegato o compia qualsiasi altra azione richiesta.
Se il primo istinto di un destinatario è che un'e-mail sia falsa o costituisca un tentativo di truffa, probabilmente ha ragione. Iniziate verificando la legittimità del mittente. Quindi, cercate di verificare le affermazioni contenute nell'e-mail direttamente con la fonte. Successivamente, esamina il contenuto dell'e-mail e cerca i segni di spear phishing (elencati nella sezione precedente). Se dopo un'ulteriore analisi l'e-mail sembra falsa, segnalala ai membri del team competenti.
Fornire formazione sulla consapevolezza della sicurezza
Ricordarsi di esaminare attentamente ogni e-mail per riconoscere i segni dello spear phishing può richiedere tempo e impegno. Fornire formazione sulla consapevolezza della sicurezza ai dipendenti può aiutarli a sviluppare le competenze necessarie per individuare, evitare e segnalare regolarmente le e-mail di phishing.
Questi programmi sono fondamentali, dato che un numero crescente di dipendenti lavora da casa. Tuttavia, anche i dipendenti meglio formati e più consapevoli in materia di sicurezza possono cadere vittime di e-mail di phishing se sono di fretta o se l'e-mail è persuasiva. Le simulazioni di phishing possono aiutare i dipendenti a mettere in pratica ciò che hanno imparato durante la formazione sulla consapevolezza della sicurezza. Questo esercizio aiuterà anche le organizzazioni a valutare il livello di comprensione dei propri dipendenti in merito agli attacchi di phishing, al fine di migliorare i propri corsi di formazione.
Condurre ricerche regolari
Le indagini proattive possono aiutare le organizzazioni a identificare le e-mail sospette con contenuti comunemente utilizzati dagli aggressori (ad esempio, oggetti che fanno riferimento a modifiche delle password). Le aziende possono applicare regolarmente patch, configurare correttamente e integrare servizi remoti, VPN e autenticazione a più fattori .
Le organizzazioni possono anche scansionare le proprietà dei messaggi e-mail ricevuti (compresa la proprietà Dettagli allegato) alla ricerca di tipi di allegati correlati a malware e inviarli automaticamente per essere analizzati alla ricerca di ulteriori indicatori di malware.
Implementare strumenti di sicurezza di supporto
Fortunatamente, esistono strumenti che aiutano a impedire che le e-mail di spear phishing raggiungano la casella di posta elettronica del destinatario. Sebbene i provider di posta elettronica possano integrare alcuni di questi strumenti nella loro piattaforma, è comunque probabile che alcune e-mail di phishing raggiungano i dipendenti senza ulteriori misure di sicurezza che eliminino le lacune di sicurezza.
Una piattaforma di rilevamento e risposta estesa (XDR) , ad esempio, può monitorare attivamente ogni livello di una rete per intercettare il malware prima che causi danni.
Prevenire gli attacchi di spear phishing con SentinelOne
La piattaforma Singularity XDR di SentinelOne’s aiuta le organizzazioni a individuare, proteggere e risolvere gli incidenti di sicurezza, compresi gli attacchi di spear phishing, prima che si verifichino.
Con Singularity XDR, le organizzazioni possono eliminare i punti ciechi in modo che i team di sicurezza possano visualizzare i dati raccolti da soluzioni di sicurezza disparate da tutte le piattaforme in un'unica dashboard.
Il motore comportamentale di SentinelOne traccia tutte le attività di sistema in tutti gli ambienti, rilevando tecniche e tattiche che indicano comportamenti dannosi e correlando automaticamente le attività correlate in avvisi unificati.
Singularity XDR, una piattaforma unica e unificata per il rilevamento, l'indagine, la risposta e la ricerca estesi delle minacce, offre:
- Un'unica fonte di avvisi prioritari che acquisisce e standardizza i dati provenienti da più fonti
- Una singola vista consolidata per comprendere rapidamente la progressione degli attacchi attraverso i livelli di sicurezza.
- Una singola piattaforma per rispondere rapidamente e cercare in modo proattivo le minacce.
Scopri come SentinelOne protegge alcune delle organizzazioni leader a livello mondiale dagli attacchi di spear phishing e iscriviti oggi stesso per una demo.
"Domande frequenti sullo spear phishing
Lo spear phishing è una truffa via e-mail mirata a una persona o a un gruppo specifico con l'obiettivo di rubare dati sensibili o installare malware. Gli aggressori ricercano le loro vittime, utilizzando profili pubblici o siti aziendali, per creare messaggi che sembrano provenire da una fonte attendibile. Queste e-mail spesso fanno riferimento a progetti o contatti reali per instaurare un rapporto di fiducia. Quando la vittima clicca su un link o apre un allegato, le credenziali o l'accesso al sistema possono essere compromessi.
Gli aggressori personalizzano le e-mail utilizzando dettagli tratti dai social media o dai siti web aziendali, rendendo i messaggi familiari. Spesso utilizzano un linguaggio urgente o minaccioso, come un falso blocco dell'account, per sollecitare un'azione rapida, falsificano gli indirizzi dei mittenti per imitare i colleghi e includono allegati o link dannosi nascosti dietro un testo dall'aspetto legittimo.
Sono comuni richieste insolite di password o trasferimenti di fondi. Alcuni utilizzano anche telefonate o messaggi di testo per rafforzare la truffa.
Nel 2015, Ubiquiti Networks ha perso oltre 40 milioni di dollari quando i dipendenti hanno obbedito a false e-mail di bonifico bancario che spoofavano i dirigenti senior. Il gruppo "HeartSender" ha utilizzato kit di phishing dal 2020 al 2025 per rubare circa 3 milioni di dollari a vittime statunitensi tramite truffe BEC personalizzate che prendevano di mira i team finanziari.
Nel 2024, l'APT35 iraniano ha inviato e-mail di whaling con link dannosi a un funzionario della campagna presidenziale statunitense, alla ricerca di informazioni sotto le spoglie di comunicazioni legittime relative alla campagna.
Fai attenzione a piccoli errori ortografici nell'indirizzo del mittente o a nomi visualizzati che non corrispondono all'indirizzo e-mail effettivo. Oggetti urgenti o allarmanti che richiedono un'azione immediata, come una violazione della sicurezza, sono segnali di allarme. Allegati o link inaspettati che richiedono l'inserimento delle credenziali, soprattutto quando gli URL non corrispondono al dominio dichiarato. Anche le richieste di dati sensibili che esulano dalle normali mansioni lavorative possono segnalare un tentativo di spear phishing.
Prima di cliccare sui link o aprire gli allegati, passa il mouse sugli URL per verificare che corrispondano al dominio del mittente. Se un'e-mail richiede credenziali o pagamenti, chiama il mittente a un numero conosciuto (non quello indicato nel messaggio) per confermare. Controlla le intestazioni delle e-mail per verificare che gli indirizzi di risposta non siano discordanti e, in caso di dubbi, verifica con il reparto IT. In caso di dubbio, elimina il messaggio o segnalalo come phishing.
Il vishing utilizza telefonate o messaggi vocali per impersonare figure di fiducia, come banche, assistenza tecnica o dirigenti aziendali, al fine di ottenere informazioni personali o pagamenti. Chi chiama spesso crea un senso di urgenza ("Il tuo conto verrà chiuso se non agisci subito") e falsifica l'ID del chiamante per sembrare legittimo. Possono seguire le e-mail di phishing, chiedendo alle vittime di richiamare e inserire le credenziali. Non condividere mai dati sensibili tramite chiamate non richieste; verifica l'identità attraverso canali ufficiali.
