Tipi di attacchi informatici: torniamo sui banchi di scuola per capire la cybersecurity
Ricordi quando, a scuola, il dizionario era il nostro alleato indispensabile? Era il punto di riferimento per cercare la definizione esatta di un termine. Oggi, nel mondo della cybersecurity, ci troviamo a fare lo stesso: districarci tra un dizionario digitale di termini tecnici, quasi sempre in inglese, molti dei quali finiscono per “-ing”.
Ma perché proprio “-ing”? Perché la cybersecurity ama i verbi in azione! Questo suffisso inglese indica processi o azioni in corso: qualcosa che “sta accadendo”, spesso con intenti tutt’altro che benevoli. Che sia un hacker impegnato a “phishare” dati o un truffatore che sta “smishare” SMS, quel “-ing” ci ricorda che dobbiamo sempre essere in allerta.
Eppure, non tutti questi termini sono eleganti quanto sembrano. Alcuni – come “quishing” (l’uso di QR code per attacchi phishing) – sembrano usciti da un compito di gruppo svolto la notte prima della consegna. Forse il creativo di turno aveva finito le idee, o magari volevano semplicemente far suonare tutto come un’attività da lista della spesa.
Diciamocelo: non c’è niente di più cyber-chic di infilare un suffisso inglese per rendere un concetto più internazionale (e forse anche più inquietante). Ma dietro ogni termine – anche il più stravagante – c’è una trappola reale da cui dobbiamo imparare a difenderci. E ora, torniamo al nostro vocabolario informatico!
| Voce | Definizione | Esempio |
|---|---|---|
Phishing |
Tentativo fraudolento di ottenere informazioni sensibili inviando email o messaggi che sembrano provenire da fonti affidabili. | Email che imitano comunicazioni bancarie, chiedendo di aggiornare le credenziali di accesso. |
Smishing |
Variante del phishing che utilizza messaggi SMS per indurre le vittime a fornire dati personali o a cliccare su link malevoli. | SMS che fingono di provenire da corrieri, informando di una consegna in sospeso e richiedendo l’accesso a un link. |
Vishing |
Tra i tipi di attacchi informatici, il vishing è un attacco che utilizza chiamate telefoniche per persuadere le vittime a divulgare informazioni riservate. | Chiamate da falsi operatori bancari che chiedono conferma di transazioni sospette. |
Whaling |
Forma di phishing mirata a individui di alto profilo all’interno di un’organizzazione, come dirigenti o amministratori. | Email apparentemente provenienti dal CEO che richiedono trasferimenti di fondi urgenti. |
Spear Phishing |
Phishing altamente mirato, basato su informazioni specifiche della vittima per rendere l’attacco più credibile. | Email personalizzate che fanno riferimento a progetti o colleghi specifici. |
Quishing |
Attacco che utilizza codici QR per indirizzare le vittime a siti web malevoli o per installare malware. | Codici QR falsi su volantini che promettono offerte speciali, ma che reindirizzano a siti pericolosi. |
Cloning |
Tecnica in cui l’aggressore copia un sito web o un’applicazione legittima per ingannare gli utenti e rubare informazioni. | Clonazione di pagine di login di banche o social media. |
Pretexting |
Tecnica in cui l’aggressore crea un pretesto convincente per ottenere informazioni sensibili dalla vittima. | Fingere di essere un rappresentante del servizio clienti per ottenere dati di accesso. |
Tailgating (o Piggybacking) |
Tecnica fisica in cui una persona non autorizzata si infiltra in un’area protetta seguendo un dipendente autorizzato. | Entrare in un ufficio dietro a un dipendente che ha aperto una porta con badge. |
Catfishing |
Tra i tipi di attacchi informatici, il catfishing rappresenta una frode online in cui l’aggressore crea una falsa identità per manipolare o truffare le vittime. | Profili falsi sui social media usati per instaurare relazioni e ottenere informazioni personali o denaro. |
Cryptojacking |
Attacco in cui un aggressore utilizza le risorse di elaborazione di un dispositivo senza autorizzazione per il mining di criptovalute. | Siti web o malware che sfruttano la CPU della vittima per estrarre criptovalute. |
Formjacking |
Manipolazione di moduli web legittimi per intercettare informazioni inserite dagli utenti. | Pagine di pagamento compromesse per rubare i dati della carta di credito. |
Keylogging |
Tecnica di attacco in cui viene registrata ogni pressione dei tasti della vittima per rubare password o altri dati sensibili. | Malware installato sul dispositivo per monitorare le attività di digitazione. |
Roguing |
Creazione di falsi punti di accesso Wi-Fi per intercettare i dati della vittima. | Reti Wi-Fi pubbliche fasulle in caffetterie o aeroporti. |
Tabnabbing |
Tecnica che sfrutta la negligenza dell’utente nel gestire più schede del browser, reindirizzando una scheda inattiva a un sito di phishing. | Una scheda del browser apparentemente legittima che, dopo un periodo di inattività, si aggiorna automaticamente mostrando una pagina di login falsa. |
Typosquatting |
Registrazione di domini con errori tipografici comuni di siti popolari per ingannare gli utenti e reindirizzarli a siti malevoli. | Registrare “gooogle.com” sperando che gli utenti sbaglino a digitare “google.com” e finiscano su un sito fraudolento. |
Watering Hole Attack |
Compromissione di siti web frequentati da un gruppo specifico di utenti per infettarli con malware. | Infettare un sito web di settore sapendo che i dipendenti di una particolare azienda lo visitano regolarmente. |
Bluejacking |
Invio non autorizzato di messaggi tramite Bluetooth a dispositivi nelle vicinanze. | Messaggi pubblicitari non richiesti inviati a telefoni abilitati al Bluetooth in luoghi pubblici. |
Bluesnarfing |
Accesso non autorizzato ai dati personali tramite connessioni Bluetooth aperte. | Un hacker utilizza una connessione Bluetooth per scaricare dati sensibili dal telefono di una vittima. |
Clickjacking |
Tecnica che inganna gli utenti a cliccare su elementi nascosti di una pagina web, permettendo agli aggressori di eseguire azioni non autorizzate. | Un pulsante “Scarica” visibile sovrapposto a un pulsante “Conferma acquisto” nascosto. |
Baiting |
Utilizzo di un’esca, come un’offerta allettante o file gratuiti, per indurre la vittima a scaricare malware o fornire dati personali. | Un pendrive lasciato intenzionalmente in un ufficio con un’etichetta interessante (“Stipendi 2023”) contenente malware. |
Spimming |
Invio di messaggi di spam attraverso piattaforme di messaggistica istantanea o social network. | Messaggi non richiesti inviati su WhatsApp o Facebook Messenger con link a siti dannosi. |
Shoulder Surfing |
Tecnica di spionaggio fisico in cui l’aggressore osserva direttamente lo schermo o la tastiera della vittima per carpire informazioni sensibili. | Guardare il PIN di una persona mentre digita al bancomat. |
Juice Jacking |
Attacco che sfrutta porte USB pubbliche per infettare dispositivi con malware o rubare dati. | Porte di ricarica USB in aeroporti che infettano i dispositivi collegati con software malevoli. |
Carding |
Utilizzo fraudolento di numeri di carte di credito rubati per effettuare piccole transazioni, verificando quali funzionano. | Comprare piccoli oggetti online con una carta rubata per testarne la validità. |
Farming |
Tecnica in cui l’aggressore manipola il DNS per reindirizzare gli utenti a siti web falsi senza che se ne accorgano. | Digitare un URL corretto e finire su un sito di phishing senza modificare nulla manualmente. |
Wardriving |
Attività di ricerca di reti Wi-Fi non protette, spesso effettuata da aggressori che si muovono in auto con strumenti di rilevamento. | Individuare e connettersi a una rete Wi-Fi domestica senza password durante il transito. |
Doxing |
Raccogliere e pubblicare online informazioni personali di una vittima senza il suo consenso. | Pubblicare online l’indirizzo di casa o il numero di telefono di qualcuno per molestie. |
Skimming |
Tecnica utilizzata per rubare dati delle carte di credito attraverso dispositivi installati su terminali di pagamento. | Installazione di uno skimmer su un bancomat per clonare le carte utilizzate. |
Brushing |
Tecnica fraudolenta in cui vengono inviati prodotti non richiesti per manipolare le recensioni di vendita online. | Una vittima riceve un pacco non richiesto e l’aggressore scrive una recensione positiva a suo nome. |
Rinsing |
Attacco in cui gli aggressori acquistano beni di lusso con carte rubate per poi rivenderli rapidamente. | Comprare e rivendere dispositivi elettronici costosi ottenuti con carte di credito clonate. |