campagne di phishing con GoPhish
Il phishing è un tipo di frode digitale in cui un attaccante si finge una persona, un’organizzazione o un servizio di fiducia per indurre la vittima a rivelare informazioni sensibili (password, dati bancari, codici) o a compiere azioni pericolose (cliccare link malevoli, scaricare allegati). Il mezzo più comune è la mail che sembra legittima ma contiene link a pagine falsificate o allegati infetti. Esistono varianti via SMS (smishing), chiamate telefoniche (vishing), messaggi su social e persino campagne mirate che sfruttano siti falsi e malware per catturare le credenziali. Gli attaccanti spesso replicano loghi, linguaggio e layout di servizi reali per aumentare la credibilità della comunicazione.
Il phishing non è solo tecnica; è soprattutto psicologia applicata. L’ingegneria sociale studia come manipolare fiducia, emozioni e comportamenti umani. Nel phishing questo significa creare un contesto credibile (pretexting), generare urgenza (“il tuo account verrà chiuso”), sfruttare l’autorità (apparire come un capo o una banca) o suscitare curiosità e paura per abbassare la vigilanza della vittima. Prima dell’attacco, spesso gli aggressori raccolgono informazioni pubbliche (OSINT - Open Source Intelligence) su persona o azienda per rendere il messaggio più personalizzato e quindi più efficace: è il caso dello spear-phishing, dove il messaggio è costruito su dati reali della vittima.
Esempio pratico: una dipendente riceve una mail apparentemente dal reparto paghe con oggetto “Urgente: aggiornamento coordinate per pagamento stipendio”. Il messaggio invita a cliccare su un link per inserire dati bancari. Il testo è cortese ma pressante, nomina colleghi reali e una scadenza imminente. La vittima, temendo ritardi nello stipendio, segue il link e inserisce le credenziali: l’attaccante ora ha accesso al conto o può usare quelle credenziali per ulteriori attacchi. Segni che qualcosa non va e contromisure essenziali: diffidare di messaggi che richiedono azioni urgenti o informazioni sensibili, verificare l’indirizzo mittente e l’URL (passando il mouse sui link), non aprire allegati sospetti, abilitare l’autenticazione a due fattori, usare password uniche e password manager, mantenere sistemi aggiornati e formare le persone con esempi concreti e simulazioni. A livello aziendale, implementare filtri antispam/antiphishing, politiche di verifica (es. non fornire dati via mail), e procedure per confermare richieste finanziarie o cambi di coordinate da canali separati.
Il phishing è spesso efficace perché sfrutta la tendenza umana a fidarsi e a rispondere sotto pressione. Difendersi richiede controlli tecnici, buone pratiche individuali e una cultura della verifica critica, non dell’immediatezza. Se vuoi, ti preparo un paio di esempi reali modificati per usarli come esercitazione didattica in aula.
Il progetto a grandi linee
Gli studenti hanno realizzato un progetto didattico in gruppi da quattro persone, finalizzato a sperimentare tecniche di ingegneria sociale in ambiente controllato. L’attività ha avuto come target altri studenti di classi diverse esclusivamente attraverso contatti via social network ed email, utilizzando informazioni pubblicamente reperibili su internet. In nessun momento sono state raccolte password né installato malware o compiute azioni invasive. Prima di procedere con il progetto, è stata chiesta autorizzazione formale alla scuola.
Ogni gruppo ha svolto una fase di OSINT per ricavare elementi pubblici (profilo LinkedIn, ruolo, interessi, eventuali post o informazioni di contatto) utili a costruire un pretesto credibile. Sulla base di questi elementi sono stati redatti messaggi personalizzati inviati via LinkedIn o email, con l’obiettivo di osservare reazioni e capire quali leve persuasive - autorità, urgenza, curiosità, reciprocità - risultassero più efficaci nel generare interazione. L’esperimento non prevedeva richieste di dati sensibili: le interazioni miravano a ottenere risposte, fissare un incontro fittizio o indurre la condivisione di informazioni non sensibili, per poter poi analizzare tecniche e punti deboli nella percezione del rischio. Per poter inviare queste comunicazioni, i gruppi hanno creato identità social fittizie utilizzando immagini generate con intelligenza artificiale come avatar. La creazione di account fittizi e di avatar IA non costituisce automaticamente reato: ai sensi degli articoli 494, 640 e 615-ter del codice penale, per integrare rispettivamente le fattispecie di sostituzione di persona, truffa o accesso abusivo devono sussistere requisiti oggettivi e soggettivi specifici (ad esempio il dolo o l’intento di procurare un vantaggio indebito o di introdursi in sistemi protetti). Se l’attività è svolta con finalità esclusivamente didattiche, dopo formale autorizzazione dell’istituto, senza richiesta di credenziali, senza impersonare persone reali né utilizzare loghi o identità ufficiali e senza arrecare danno, il rischio penale è in genere contenuto; resta comunque raccomandabile sottoporre il quadro giuridico a verifica legale da parte del consulente dell’istituto prima di avviare l’esercitazione.
Lo scopo principale di questo progetto era sia aumentare le skill tecniche per l’installazione di ambienti open source, ma anche aumentare la consapevolezza su quanto informazioni apparentemente innocue, rese pubbliche online, possano essere sfruttate per manipolare comportamenti e abbassare la soglia di attenzione. Gli studenti hanno imparato a riconoscere i segnali di un tentativo di social engineering, a valutare la qualità delle fonti OSINT, a comunicare agli utenti cosa sono le minacce e i vettori d’attacco, oltre che fare del buon reporting. L’attività è stata condotta con finalità formative e in ambiente controllato, poichè per essere degli esperti di sicurezza informatica non serve solo l’aspetto puramente tecnico, ma serve anche conoscere questo aspetto più sociale spesso delegato ad altre funzioni aziendali, col rischio che si sottovaluti. È importante evidenziare che, per rispetto e trasparenza, le attività di questo tipo dovrebbero sempre essere approvate preventivamente dagli istituti, accompagnate da debriefing e feedback, e includere misure per tutelare eventuali soggetti coinvolti (opzioni di opt-out, anonimizzazione dei risultati, rimozione di contenuti prodotti).
le fasi del progetto
Analisi del contesto: raccolta OSINT dalle fonti pubbliche (LinkedIn, profili social, siti aziendali, post, curricula) per mappare il contesto, identificare informazioni utili e valutare limiti e rischi della sperimentazione.
Creazione della campagna: progettazione della strategia comunicativa, scelta dei canali (email/LinkedIn), definizione degli obiettivi didattici, delle leve persuasive ammesse e dei paletti etici (nessuna richiesta di credenziali, nessun codice malevolo).
Esecuzione e analisi delle evidenze: setup della piattaforma GoPhish, configurazione di un SMTP server di test, invio controllato dei messaggi, monitoraggio delle reazioni, raccolta di metriche non sensibili (tassi di risposta, tempi, tipologie di risposta) e analisi qualitativa delle interazioni.
Comunicazione al target sull’attività effettuata: restituzione ai destinatari coinvolti con spiegazione dell’esperimento, finalità didattiche, possibilità di opt-out e supporto per chiarimenti, per rispettare trasparenza e tutela.
Reporting finale: sintesi dei risultati, valutazione etica, mappatura rispetto a framework di riferimento (es. NIST), raccomandazioni tecniche e comportamentali e proposte formative per rafforzare la resilienza digitale.
Quando si fanno progetti di questo tipo è necessario avere dei ruoli all’interno della squadra in modo tale da non avere le responsabilità condivise, ma sapere “chi fa cosa” per ogni task specifico del progetto. La fase di reporting, che in questo schema è riportata come trasversale a tutte le altre fasi, è necessario iniziare fin dalle prime analisi, in modo tale da raccogliere screenshot e evidenze di come si è effettivamente fatta l’analisi del target. Tra la conclusione della campagna e la comunicazione di restituzione ai destinatari è consigliabile attendere un intervallo ragionevole che permetta di completare la raccolta delle evidenze e di valutare i risultati. Un riferimento operativo utile è un periodo di 3–5 giorni lavorativi dalla data di chiusura della campagna (ossia dal momento in cui l’invio è stato completato e tutte le metriche sono state acquisite). La data effettiva e l’autorizzazione alla comunicazione devono essere decise in via formale dal docente o dal responsabile del progetto. Mi raccomando: è necessario evitare la comunicazione lo stesso giorno dell’invio, per non creare sovrapposizioni in cui alcuni destinatari ricevono la segnalazione prima della mail di test.
considerazioni
Un progetto didattico di phishing deve includere una solida parte teorica sulle tecniche di ingegneria sociale, procedure operative per l’installazione sicura della piattaforma di test, e una valutazione formale dei ruoli e delle responsabilità. Il successo dell’esercitazione non è misurato solo dal tasso di click, ma dalla correttezza dell’impostazione metodologica, dalla qualità del reporting e dalla capacità di restituire i risultati ai soggetti coinvolti in modo chiaro e nei tempi stabiliti. Al termine dell’esercitazione è obbligatorio rimuovere o disattivare tutto il materiale creato, salvo le evidenze conservate secondo la clausola sulla retention, perché lo scopo educativo cessa con la chiusura del progetto.
Tutte le evidenze generate durante l’esercitazione (screenshot, log dei messaggi inviati, copie delle comunicazioni e dei profili finti) devono essere conservate in modo sicuro e accessibile esclusivamente al docente/responsabile dell’attività e al legale incaricato. Si suggerisce una retention orientativa di 90 giorni dalla chiusura della campagna: trascorso tale periodo, le evidenze devono essere cancellate o rese anonime salvo diversa istruzione formale del responsabile/legale. Le regole di accesso, il responsabile della conservazione e le modalità di distruzione devono essere riportate nel report finale. Per la pianificazione, la raccolta e l’analisi delle evidenze si raccomanda di seguire le buone pratiche per test e assessment di sicurezza (es. NIST SP 800-115).
Le piattaforme social e professionali solitamente vietano la creazione e l’uso di account falsi, pertanto ogni uso di profili fittizi deve essere gestito consapevolmente: prevedere la rimozione/disattivazione immediata e documentata degli account finti al termine dell’esercitazione, non utilizzare loghi o riferimenti aziendali reali, e non amplificare i profili con pratiche che possano ingenerare danno o confusione pubblica. Informare inoltre gli amministratori di piattaforma, se previsto dal regolamento d’istituto, e conservare prova della disattivazione. Questo passaggio riduce il rischio di sanzioni per violazione dei termini di servizio e le possibili contestazioni disciplinari.
evidenze di progetti già svolti
In questo caso il bytezilla team ha creato un account fake di una recruiter freelancer, senza inserire dati relativi ad Aziende reali. L’immagine del profilo e anche la descrizione sono state generate con ChatGPT. Prima di contattare il target identificato, sono state aggiunte altre persone della stessa cerchia di quella persona per rendere il profilo della recruiter affidabile. Campanelli d’allarme:
Recruiter con soli 10 collegamenti
Questo profilo ha pubblicato solo un post dicendo “mi è stato rubato l’account e questo è quello nuovo”. Si tratta sicuramente di un caso possibile, ma se così fosse, la persona non aggiungerebbe per primi gli studenti di una solo scuola, bensì inizierebbe a ricreare la sua rete con persone che sicuramente già la conoscono.