Il phishing è una tecnica di ingegneria sociale in cui l’attaccante si finge un’entità fidata — una banca, un provider online, un ufficio governativo, un collega — per indurre la vittima a compiere un’azione dannosa: rivelare credenziali di accesso, dati finanziari, informazioni personali, o eseguire un pagamento fraudolento. Non sfrutta vulnerabilità tecniche ma vulnerabilità cognitive: urgenza, autorità, fiducia, scarsità, reciprocità. Secondo il Verizon DBIR 2023, il phishing è il vettore di accesso iniziale nel 36% degli attacchi documentati.
Meccanismo e varianti
Il phishing si manifesta in numerose varianti specializzate, ognuna con vettore e target distinti.
Il phishing via email è il vettore classico: invio massivo (spray and pray) verso milioni di destinatari, con link a siti clone. Lo spear phishing è un attacco mirato a un individuo specifico, con messaggi personalizzati costruiti su informazioni OSINT (LinkedIn, siti aziendali, social). Il whaling è spear phishing diretto ai vertici aziendali (CEO, CFO) o figure con elevati privilegi. Il Business Email Compromise (BEC) impersona un dirigente aziendale per autorizzare bonifici fraudolenti — il FBI stima perdite globali superiori a 50 miliardi di dollari tra il 2013 e il 2023. Il vishing avviene via telefono o VoIP, il smishing via SMS, il quishing tramite QR code malevoli che bypassano i filtri antiphishing testuali.
Infrastruttura tecnica
Un’infrastruttura phishing professionale usa domini typosquatted (registrazioni di domini simili al legittimo), certificati SSL validi (il lucchetto HTTPS non garantisce la legittimità del sito, solo la cifratura), e cloni del sito target. I proxy avanzati come Evilginx si interpongono tra vittima e sito legittimo, catturando in tempo reale sia le credenziali sia i cookie di sessione MFA — bypassando l’autenticazione a due fattori basata su OTP.
Difese
Sul lato email server, il trio SPF + DKIM + DMARC in modalità p=reject rende molto difficile la spoofing del dominio esatto. Sul lato client, i Secure Email Gateway analizzano link e allegati in sandbox. La difesa più robusta lato utente è FIDO2/WebAuthn: poiché la chiave è crittograficamente vincolata al dominio del sito legittimo, un sito phishing non può ottenere la risposta corretta — il phishing delle credenziali diventa impossibile per costruzione, indipendentemente dall’abilità dell’attaccante.