Il punto di vista di Cyber Academy
Il phishing è l'attacco di social engineering che induce un utente a cliccare su un link malevolo, aprire un file malevolo o rivelare le proprie credenziali. Varianti: spear phishing (mirato), whaling (dirigenti), smishing (SMS), vishing (voce), BEC (business email compromise). La formazione è essenziale; l'MFA resistente al phishing lo è ancora di più.
Perché il phishing resta il principale punto di ingresso
Il phishing persiste perché attacca la persona, non il perimetro. Tutti gli altri controlli possono essere configurati alla perfezione e all'attaccante serve comunque solo un dipendente che clicchi su un link, apra un file o digiti una password in un falso convincente. Il messaggio arriva attraverso un canale fidato, di solito l'email ma sempre più SMS e voce, e prende l'aspetto e il tono di un marchio, di un collega o di un sistema interno da cui la vittima si aspetta già di ricevere notizie.
Poiché il payload spesso risiede dietro un dominio appena registrato o una pagina di accesso cloud dall'aspetto legittimo, i filtri basati sulle firme e le liste di reputazione arrivano spesso troppo tardi. Anche l'economia favorisce l'attaccante: un singolo modello può essere diffuso a migliaia di destinatari a costo quasi nullo, e un singolo successo può fornire credenziali che sbloccano tutto il resto.
Ciò che i professionisti osservano è il passaggio dal volume alla precisione. Il phishing di massa è una rete ampia, ma gli incidenti costosi di solito iniziano con un messaggio su misura che ha chiaramente fatto i compiti su bersaglio, organigramma e momento.
Le varianti che contano nella pratica
Il phishing è una famiglia, non un'unica tecnica. La logica dell'ingegneria sociale resta costante mentre il canale e il bersaglio cambiano.
- Spear phishing: un messaggio mirato costruito per una persona o un team specifici, che usa nomi, progetti e contesto reali per abbassare il sospetto.
- Whaling: spear phishing rivolto a dirigenti e altri approvatori di alto valore, dove un singolo account compromesso porta un'autorità sproporzionata.
- Smishing: phishing veicolato via SMS, spesso un falso avviso di consegna, di banca o di reimpostazione MFA che sfrutta lo schermo più piccolo e l'abitudine di fidarsi dei messaggi di testo.
- Vishing: phishing tramite chiamata vocale, dove un attaccante mette sotto pressione la vittima in tempo reale, sempre più aiutato da numeri falsificati e audio sintetico.
- Business email compromise: un sottotipo di pretexting che colpisce direttamente i processi di pagamento e dei dati, di solito senza alcun link o allegato malevolo.
Ciò che riduce davvero il rischio
La formazione di sensibilizzazione è necessaria ma non sufficiente. Le persone cliccheranno sempre in una certa percentuale dei casi, quindi l'obiettivo è eliminare il valore di un clic piuttosto che esigere la perfezione dagli utenti. Il controllo tecnico decisivo è l'autenticazione a più fattori resistente al phishing, ovvero fattori legati al dominio legittimo, come le chiavi di sicurezza FIDO2 o le passkey, che una pagina di accesso falsa non può riprodurre. A valle si collocano, a strati, i controlli che intercettano ciò che sfugge.
- MFA resistente al phishing su ogni account che conta, in modo che una password sottratta da sola non basti per accedere.
- Autenticazione dell'email con SPF, DKIM e DMARC per aumentare il costo dello spoofing di dominio, abbinata a un gateway email sicuro e alla riscrittura dei link o al sandboxing.
- Formazione di sensibilizzazione continua e basata su scenari, con phishing simulato, misurata per migliorare nel tempo anziché per punire i singoli.
- Un pulsante di segnalazione senza attriti e un processo di risposta rapido, perché le persone che segnalano sono il sistema di allerta precoce per quelle che hanno cliccato.
Dove si colloca il phishing nelle norme e nella regolamentazione
Il phishing rientra pienamente nell'ambito di un sistema di gestione della sicurezza delle informazioni. Nell'ambito di un SGSI ISO/IEC 27001 il trattamento pertinente combina formazione di sensibilizzazione, controllo degli accessi e i controlli tecnici di email e autenticazione, tutti selezionati attraverso la valutazione del rischio anziché aggiunti per riflesso.
Gli orientamenti europei di ENISA e delle autorità nazionali come ANSSI collocano sistematicamente il phishing tra le principali tecniche di accesso iniziale e pubblicano contromisure pratiche. Quando un phishing riuscito espone dati personali, per esempio attraverso una casella di posta compromessa, può anche far scattare gli obblighi di violazione dei dati personali ai sensi del GDPR, il che significa che il legale e la funzione di protezione dei dati devono rientrare nel piano di risposta, accanto a IT e sicurezza.
Per i professionisti la lezione è che la difesa dal phishing è stratificata e condivisa. Nessun singolo strumento o campagna di sensibilizzazione la chiude da solo. La postura duratura combina persone, processi e progettazione dell'autenticazione in modo che un clic, che prima o poi avverrà, non diventi una violazione.
Frequently asked questions
01Qual è la differenza tra phishing e spear phishing?
Il phishing è la categoria ampia dei messaggi di ingegneria sociale diffusi su larga scala per raccogliere clic o credenziali. Lo spear phishing è una variante mirata costruita per una persona o un team specifici, che usa nomi, progetti e contesto reali per abbassare il sospetto e aumentare il tasso di successo.
02L'autenticazione a più fattori ferma il phishing?
La MFA ordinaria aiuta ma può essere oggetto di phishing o ritrasmessa in tempo reale. La MFA resistente al phishing, come le chiavi di sicurezza FIDO2 o le passkey legate al dominio legittimo, è ciò che sconfigge in modo affidabile il phishing delle credenziali, perché una pagina di accesso falsa non può riprodurre il fattore.
03La formazione di sensibilizzazione basta a prevenire il phishing?
No. La formazione abbassa il tasso di clic ma non lo elimina mai, quindi deve essere abbinata a controlli tecnici. L'obiettivo è eliminare il valore di un clic tramite la MFA resistente al phishing, l'autenticazione dell'email e la segnalazione rapida, non esigere un firewall umano perfetto.
04Che cosa sono lo smishing e il vishing?
Lo smishing è phishing veicolato via SMS, spesso un falso avviso di consegna, di banca o di reimpostazione MFA. Il vishing è phishing tramite chiamata vocale, dove un attaccante applica pressione in tempo reale, sempre più aiutato da identificativi del chiamante falsificati e audio sintetico.
05Un incidente di phishing può costituire una violazione dei dati da notificare?
Sì. Se un phishing riuscito espone dati personali, per esempio attraverso una casella di posta compromessa, può far scattare gli obblighi di violazione dei dati personali ai sensi del GDPR. Il piano di risposta dovrebbe coinvolgere il legale e la funzione di protezione dei dati accanto a IT e sicurezza.