Il phishing si riferisce a una truffa analoga alla pesca – da cui il nome – in cui il truffatore cerca di ottenere informazioni preziose adescando o adescando una persona con una comunicazione dall’aspetto autentico ma fasulla che guadagna credibilità imitando un noto marchio aziendale come quello di una banca, società di carte di credito, e-tailer, sito di social media o sito di pagamento. Il termine è nato nel 1996. Lo spear phishing continua l’analogia e denota uno stile specifico di phishing.
Le e-mail di phishing vengono inviate a un vasto pubblico e generalmente danno un terribile avvertimento, affermando che qualcosa di brutto può essere evitato solo dal destinatario che conferma determinate informazioni. Le informazioni sono solitamente personali e critiche, come un numero di previdenza sociale o il numero di conto e la password. Un collegamento ipertestuale nell’e-mail porta il destinatario a un sito Web in cui vengono raccolte le informazioni, con il risultato che il destinatario perde un conto bancario o è vittima di un furto di identità.
Le e-mail di spear phishing differiscono dalle e-mail di phishing in diversi modi. In primo luogo, vengono inviati a un pubblico mirato, come i dipendenti di una determinata organizzazione o i membri di un particolare gruppo. In secondo luogo, l’e-mail sembra provenire da un collega all’interno dell’organizzazione o del gruppo e spesso sono costruite con maggiore cura rispetto alle e-mail di phishing, che possono mostrare evidenti segni di falsificazione. Terzo, l’obiettivo non è semplicemente ottenere un nome, una password o informazioni sulla carta di credito da un individuo, ma infiltrarsi nella rete informatica di un’azienda.
Uno dei più notevoli attacchi di spear phishing, spesso definito “caccia alle balene” a causa del calibro del pubblico di destinazione, è stato un attacco double whammy del 2008 contro circa 20,000 dirigenti aziendali senior. Duemila caddero per il primo attacco ma solo 70 per il secondo. Entrambi gli attacchi mascherati da mandato di comparizione ufficiale a comparire davanti a un gran giurì federale, e facendo clic sul collegamento a quella che avrebbe dovuto essere una copia più completa della citazione in realtà ha portato a un sito in cui un ulteriore clic ha installato un software sul loro computer che ha permesso al furto delle credenziali di accesso. Il malware nel primo caso è stato catturato solo da otto dei primi 35 prodotti anti-malware e il malware modificato è stato rilevato solo da 11 di loro nel secondo attacco.
Ci sono misure che le persone possono adottare per evitare truffe di spear phishing. Se si sospetta una truffa, si dovrebbe chiamare la persona da cui sembra provenire l’e-mail. Non si dovrebbe mai fare clic su alcun collegamento in un’e-mail sospetta o aprire allegati. È anche una buona idea chiamare il proprio reparto IT o il provider di servizi Internet (ISP) per assistenza. Piuttosto che eliminare semplicemente le e-mail sospette che potrebbero arrivare al proprio lavoro, sarebbe meglio segnalarle alla persona giusta nella propria azienda.