In questo articolo parliamo brevemente di baiting e spear phishing. Due termini che forse molti di voi non conoscono, ma che sono sempre più utilizzati quando si parla di attacchi malware, hacker e ransomware. Entrambi i termini, poi, sono accomunati da uno stesso meccanismo, indirizzato a una vittima specifica e all’attacco diretto a una persona in particolare, o a uno specifico ente o a un’organizzazione precisa. Il baiting, solitamente, precede il phishing e consiste in una semplice raccolta di informazioni, al fine di poter architettare meglio la truffa informatica. Lo spear phishing è invece una truffa perpetrata tramite comunicazioni elettroniche e indirizzata a una persona o ente specifico.
Cos’è lo spear phishing e perché diventa sempre più frequente
Stando all’ultimo rapporto di Cisco Umbrella, “Cybersecurity threat trends”, il 90% dei furti di dati deriva proprio pratiche di phishing, che resta pertanto tra le truffe informatiche più frequenti. Questa tecnica ha subito una rapida evoluzione nel corso degli ultimi anni, diventando per l’appunto spear phishing, progettato e pensato per colpire una vittima nello specifico. Questa pratica ha tratto inoltre forza dalla pandemia, che ha aggravato la situazione visto che molte persone proprio nell’online si sono rifugiate, anche per sbrigare le normali pratiche della vita quotidiana.
Qualche anno fa si diceva che i nostri dati un giorno sarebbero diventati una miniera importantissima su internet, più preziosa di qualsiasi guadagno, ma che proprio per questo non era esente da rischi. Ne sappiamo certamente qualcosa, visto che ogni qualvolta passiamo sui social (da Instagram a Facebook passando per TikTok) siamo poi bersagliati da contenuti sponsorizzati che si rivolgono direttamente alle nostre passioni e interessi. I numeri vanno incontro a questo ragionamento: nel 2013 Facebook ricavava solo 19 dollari all’anno per ogni utente americano sul fronte delle vendite pubblicitarie, mentre nel 200 i ricavi ammontano a ben 164 dollari.
Il problema non è solo nella profilazione a carattere commerciale (l’interesse in sé per sé), quanto in tutta una serie di informazioni accessorie e collaterali alle quali probabilmente non pensiamo in un primo momento. “Pochi sanno o collegano che le informazioni raccolte non sono solo gli interessi commerciali, ma anche informazioni relative al software installato (come ad esempio Windows 7 con Chrome non aggiornato) e alle abitudini (come ad esempio il venerdì sera come il momento in cui di solito l’utente usa il PC di lavoro da casa senza entrare in VPN”, spiega il Codacons. Sono queste informazioni che un cybercriminale potesse usare per attaccare la vittima creando una truffa creata appositamente su misura per lui. Se il venerdì sera un utente è solito fare acquisti su Amazon, il cybercriminale potrebbe creare un banner fittizio che propone della merce interessante a un prezzo altrettanto interessante. DA qui l’utente clicca su un banner e finisce su una pagina sulla quale sarà chiesto di cliccare su un link o scaricare qualcosa, che poi altro non sarebbe che il virus. “L’unico modo per mitigare i rischi e la crescita dello spear phishing è quello di rendere l’utente trasparente a questi servizi durante la navigazione, evitando l’effetto Pollicino, cioè che lasci briciole sul suo percorso durante la navigazione”, prosegue l’associazione dei consumatori. “Il totale anonimato passa dalla protezione dell’utente durante la navigazione, sia da PC sia da dispositivi mobili, mediante soluzioni in grado di analizzare i comportamenti delle singole connessioni, sia via browser sia via app, per evitare che dal dispositivo fuoriesca qualsiasi informazione verso servizi web esterni all’azienda, se non solo quelle che l’azienda decide di far fuoriuscire: ad esempio, solo le richieste di connessione verso le Content Delivery Network, bloccando invece tutte quelle rivolte a servizi terzi di tracciamento”.
La minaccia del baiting
La tecnica di baiting invece riguarda quello che avviene preliminarmente all’attacco informatico, dunque la raccolta informazioni. Secondo un rapporto di Barracuda Networks, infatti, molte aziende e organizzazioni colpite da un attacco sono prima vittime di baiting, che sono mail provviste di solo contenuto e non ancora malevolo. Si tratta per lo più di comunicazioni finalizzate a verificare l’esistenza di un indirizzo mail, oppure a incoraggiare una interazione con la vittima stessa. Questo tipo di comunicazioni, pur restando basso nei numeri, resta difficile da riconoscere e inizia a essere meno raro, soprattutto quando si parla di attacchi di phishing rivolti nei confronti di enti e organizzazioni. Questi messaggi sono generalmente dei saluti, o delle storie che possono risultare familiari e soprattutto dirette all’utente stesso. In caso di dubbio o sospetto la forte raccomandazione è quella di non rispondere mai e di cestinarli o sposarli nell’apposita cartella Spam della mail.