Un kit di phishing è una raccolta di strumenti software che rende più facile per le persone con poche o nessuna competenza tecnica lanciare un exploit di phishing. Il phishing è un tipo di truffa su Internet in cui l'autore del reato invia e-mail contraffatte o messaggi di testo che sembrano provenire da una fonte legittima. L'obiettivo è indurre il destinatario a eseguire un'azione specifica a vantaggio dell'aggressore: in genere, ciò comporta che la vittima faccia clic su un collegamento dannoso, apra un allegato infetto o autorizzi un trasferimento di fondi.
Un kit di phishing in genere include un software per lo sviluppo di siti Web che dispone di un'interfaccia utente grafica (GUI) semplice, a basso codice / senza codice. Questo tipo di kit di crimeware viene solitamente fornito completo di modelli di posta elettronica, grafica e script di esempio che possono essere utilizzati per creare imitazioni convincenti di corrispondenza legittima. Ad un prezzo aggiuntivo, alcuni kit possono includere anche elenchi di indirizzi e-mail, numeri di telefono e software per automatizzare il processo di distribuzione del malware.
Gli esperti di sicurezza raccomandano agli utenti di astenersi dal fare clic su collegamenti in messaggi inaspettati che pretendono di provenire da un sito con cui hanno rapporti finanziari. In caso di dubbi sulla validità di un messaggio, gli utenti devono andare direttamente al sito ufficiale e cercare informazioni lì oppure contattare il servizio clienti del sito.
Kit di phishing as a Service (kit PaaS)
Secondo Cyren, un fornitore di sicurezza SaaS, i kit di phishing-as-a-service basati su cloud sono disponibili sul dark web per un minimo di $ 50 al mese. Quando i siti Web di phishing sono ospitati su servizi cloud pubblici legittimi, i criminali sono in grado di presentare domini e certificati SSL legittimi, che possono indurre anche l'utente finale più esperto a pensare che una determinata pagina Web o e-mail di phishing sia affidabile.
Popolari exploit di sicurezza
I kit di phishing vengono spesso utilizzati per eseguire i seguenti exploit di sicurezza informatica:
Spear phishing: un attacco di spoofing delle e-mail che prende di mira un'organizzazione o un individuo specifico, alla ricerca di accesso non autorizzato a informazioni sensibili.
Caccia alle balene: un tipo specifico di attacco di phishing che prende di mira dipendenti di alto profilo, come il CEO o il CFO.
SMiShing: un attacco alla sicurezza in cui all'utente viene inviato un messaggio di testo progettato per indurlo a scaricare un cavallo di Troia, virus o altro malware.
Vishing - una tattica di frode elettronica condotta tramite posta elettronica vocale, VoIP (voice over IP), telefono fisso o cellulare.