Phishing
Scopri le tattiche di phishing più recenti, come funzionano e le strategie comprovate per proteggere la tua organizzazione dalle minacce informatiche.
Comprendere il phishing
Il phishing non ha bisogno di presentazioni. Se utilizzi Internet o un dispositivo smart, avrai sicuramente assistito a un attacco di phishing, che si tratti di un'e-mail, un messaggio di testo, una telefonata, un post sui social media o tutte queste modalità insieme.
La minaccia del phishing è tanto seria quanto la sua reputazione lascia intendere. La diffusione dell'AI generativa ha portato a un'impennata degli attacchi di phishing, con tecniche più sofisticate e in volumi più grandi che mai.
Ingegneria sociale: come il phishing sfrutta la fiducia
Siamo inclini a credere a ciò che vediamo, soprattutto se proviene da una fonte affidabile. Ciò significa che una parte fondamentale di un attacco di phishing è una menzogna convincente. Questa è l'ingegneria sociale. Gli aggressori possono spacciarsi per nostri colleghi, amici, forze dell'ordine o brand affidabili: tutto ciò che serve per convincerci ad abbassare la guardia. E funziona: il 90% degli attacchi informatici usa l'ingegneria sociale.¹
Scopri di più: cos'è il phishing?
Nel 2023 gli attacchi di phishing sono aumentati del 58,2% su base annua; quest'aumento è dovuto al fatto che aggressori hanno sfruttato l'AI generativa per potenziare nuove tecniche di inganno sofisticate.
Tipi di attacchi di phishing
Tutti gli attacchi di phishing hanno obiettivi simili: indurre le vittime a scaricare malware, seguire link dannosi o divulgare informazioni riservate. Ma gli utenti malintenzionati possono utilizzare diversi approcci e tipi di media per rendere gli attacchi più convincenti, personali o aumentarne il senso di urgenza che trasmettono. Di seguito sono elencati alcuni dei tipi più comuni.
Il phishing tramite e-mail è la forma più tradizionale, in cui gli aggressori inviano e-mail fraudolente per incoraggiare le vittime a compiere un'azione. Questo metodo ha una soglia di accesso bassa, perché le e-mail sono facili da distribuire su larga scala e molti elementi (mittente, intestazioni) sono facili da falsificare.
Il vishing (phishing vocale) viene effettuato tramite telefono o VoIP. Essendo un'interazione diretta in tempo reale, il vishing fa leva sul senso di urgenza e sui nostri istinti sociali. Oggi gli attacchi vishing più sofisticati combinano spesso tecniche come lo spoofing dell'ID chiamante e i deepfake vocali. Scopri di più.
Lo smishing (phishing via SMS) si effettua tramite messaggi di testo o messaggi diretti sui social media. Sebbene sia simile al phishing via e-mail, lo smishing può essere molto efficace per la natura considerata più personale dei messaggi di testo e perché la maggior parte delle persone legge i messaggi prima di eliminarli. Scopri di più.
Lo spear phishing è un attacco altamente mirato contro un piccolo gruppo di vittime o addirittura contro una persona sola. Non limitato a un solo mezzo di comunicazione, questo tipo di attacco è personalizzato e utilizza dettagli specifici relativi alle vittime per rendere le richieste fraudolente più credibili e ingannevoli. Scopri di più.
Il phishing Man in the Middle (MiTM) è un attacco avanzato in cui gli utenti malintenzionati intercettano e manipolano furtivamente le comunicazioni tra due parti in tempo reale. Possono modificare i messaggi, reindirizzare le vittime verso siti web dannosi, raccogliere dati sensibili e altro. Scopri di più.
Identificazione degli attacchi di phishing: tipologie più comuni, tattiche principali e suggerimenti per la prevenzione
Tecniche e tattiche del phishing
Gli aggressori useranno tutti i mezzi a loro disposizione per sfruttare la fiducia, la paura o la semplice disattenzione delle vittime e indurre queste ultime ad agire.
Oggi gli aggressori hanno a disposizione più opzioni che mai.
Quishing (phishing tramite codice QR)
Utilizza codici QR dannosi al posto dei classici collegamenti ipertestuali. Sebbene un codice QR funzioni in modo identico a un link, è meno probabile che le vittime lo esaminino attentamente.
Compromissione della posta elettronica aziendale (BEC)
Utilizza indirizzi e-mail compromessi o falsificati appartenenti a colleghi o dirigenti delle vittime per richiedere informazioni sensibili, trasferimenti di denaro o accessi privilegiati.
Typosquatting
Approfitta degli utenti che digitano erroneamente gli URL, spesso reindirizzandoli verso domini simili che imitano marchi noti e affidabili.
Attacchi di phishing basati sull'AI: una minaccia crescente per la sicurezza informatica
Deepfake phishing
Utilizza voce e/o video generati dall'AI per inscenare persone di cui le vittime si fidano, risultando quasi indistinguibili dalla realtà. Scopri di più sugli attacchi con deepfake.
Phishing assistito da LLM
Utilizza modelli GenAI come ChatGPT per produrre traduzioni accurate con errori minimi, aiutando gli aggressori a colpire più efficacemente anche le vittime che parlano altre lingue.
Il 43,1% degli attacchi di phishing aziendali imitano Microsoft.
Scopri di più con il Report del 2024 di ThreatLabz sul phishing
Il ruolo dell'AI nel phishing
Il phishing basato sull'AI continua a diffondersi
In linea con le tendenze degli ultimi anni, per gli esseri umani sarà sempre più difficile distinguere tra gli inganni supportati dall'AI e le comunicazioni reali e innocue. Scopri tutte le nostre previsioni:
La stagione del phishing nel 2025: svelata l'ultima previsione
Tendenze della sicurezza informatica nel 2025: minacce basate sull'AI e rischi interni
Il tempo medio necessario per portare a termine un attacco di phishing è di soli 49 secondi.² Con il costo medio di una violazione dei dati a livello globale che si avvicina ai 5 milioni di dollari³, il modo migliore per contrastare il phishing è prevenirlo.
Strategie di rilevamento e prevenzione
Zscaler offre una suite di soluzioni per prevenire la riuscita degli attacchi di phishing in ogni fase.
Zscaler Internet Access™ aiuta a identificare e bloccare le attività dannose, instradando e ispezionando tutto il traffico Internet attraverso una piattaforma Zero Trust basata su proxy e nativa nel cloud, in grado di bloccare:
- URL e IP dannosi e rischiosi, comprese le categorie di URL ad alto rischio definite dalle policy comunemente utilizzate per il phishing
- Firme IPS sviluppate dall'analisi di Zscaler ThreatLabz dei kit e delle pagine di phishing
- Siti di phishing nuovi, identificati tramite le scansioni dei contenuti con algoritmi di intelligenza artificiale e machine learning
La protezione avanzata dalle minacce blocca tutti i domini di comando e controllo (C2) noti per impedire ai malware di comunicare con gli aggressori o di esfiltrare dati.
Zero Trust Firewall estende la protezione C2 a tutte le porte e i protocolli, comprese le destinazioni C2 nuove.
Zscaler ITDR (Identity Threat Detection and Response) riduce il rischio di subire attacchi basati sull'identità grazie alla visibilità continua, il monitoraggio del rischio e il rilevamento delle minacce.
Zero Trust Browser trasmette contenuti dannosi o rischiosi agli utenti sotto forma di pixel, garantendo un'esperienza pressoché nativa che elimina le perdite di dati e impedisce la diffusione di minacce attive.
Cloud Sandbox previene i malware sconosciuti distribuiti nei payload di seconda fase.
DNS Security difende dagli attacchi basati su DNS e dai tentativi di esfiltrazione.
Zscaler Private Access™ limita il movimento laterale attraverso l'accesso a privilegi minimi, la segmentazione da utente ad app e l'ispezione inline completa del traffico delle app private.
AppProtection esamina tutti i payload delle applicazioni per individuare le minacce.
Strumenti
Scopri le lacune nella tua sicurezza che potrebbero esporti a phishing, botnet, download drive-by e altro:
Avvia l'analisi dell'esposizione a minacce Internet
Ogni giorno compaiono decine di migliaia di nuovi siti di phishing. Analizza qualsiasi URL per verificarne la sicurezza in pochi secondi:
1. Gen Digital, Q2 2024 Cybersecurity Trends.2. Verizon, 2024 Data Breach Investigations Report.3. IBM, Cost of a Data Breach Report 2024.
Zero Trust Essentials
Explore more topics
Browse our learning hubs–read up on fundamentals, use cases, benefits, and strategies.