Phishing: la minaccia invisibile che svuota il tuo conto

TEMPO DI LETTURA: 7 minuti

Phishing: la minaccia invisibile che svuota il tuo conto

Il phishing è una delle truffe online più diffuse e insidiose, un vero e proprio pericolo invisibile che minaccia la sicurezza dei nostri dati personali e finanziari.

Il phishing è un crimine che utilizza:

  • il “social engineering“, o ingegneria sociale, che è una forma di manipolazione psicologica. I truffatori mettono in atto delle vere e proprie strategie, basate sull’uso delle loro abilità comunicative e psicologiche, al fine di ottenere informazioni, accesso o azioni da parte delle vittime. Gli ingegneri sociali cercano di sfruttare la naturale propensione delle persone a fidarsi e cooperare con gli altri. Gli schemi di ingegneria sociale mirano, infatti, a sfruttare le opportunità offerte dalle persone che agiscono incautamente, facendogli credere di avere a che fare con un soggetto affidabile;
  • sotterfugi tecnici come fare uso di mail falsificate (spoofed) che sembrano arrivare da mittenti conosciuti oppure sembrano essere comunicazioni legittime da imprese e società note. Generalmente utilizzano indirizzi email creati ad hoc e possono anche contenere allegati dannosi. Di per se l’allegato non è dannoso, è la sua apertura che permette l’esecuzione di malware (fusione dalle parole inglesi malicious e software ossia software malevolo) e l’infezione del dispositivo del malcapitato.

Il termine phishing è una variante del termine inglese “fishing, che allude al fatto di “pescare” dati tra un mare di utenti. Il meccanismo alla base del phishing è, tutto sommato, semplice: vengono inviate email a migliaia di persone (come gli ami da pesca) confidando nel fatto che, prima o poi, qualcuno abboccherà. Questi criminali informatici, o hacker, copiano in maniera molto fedele le email di aziende come banche, poste, ecommerce oppure fingono di essere persone conosciute. L’obiettivo è di indurci a fare ciò che chiedono come, ad esempio, fornirgli password, numeri di carte di credito, codici PIN oppure effettuare pagamenti.

Ne avevamo già parlato in un articolo di qualche tempo fa, ma la minaccia è sempre presente, quindi abbiamo pensato di riprendere l’argomento.Ami da pesca

Come funziona il phishing?

I truffatori utilizzano diverse tecniche per ingannare le loro vittime ma la più comune è, per l’appunto, l’invio di email provenienti da mittenti apparentemente affidabili. Il messaggio, spesso creato ad arte per sembrare autentico, può segnalare un problema con il nostro account, avvisarci di una transazione sospetta o invitarci a cliccare su un link per aggiornare i nostri dati.

Ecco alcuni segnali che dovrebbero farci sospettare:

  • Offerte troppo belle per essere vere: ad esempio ci annunciano una vincita alla lotteria oppure che abbiamo vinto un premio in denaro o un venditore vi propone di acquistare prodotti o servizi con sconti che vanno ben oltre la norma. Spesso, se l’offerta è troppo bella per essere vera, effettivamente non lo è.
  • Mittente riconoscibile ma con cui non si interagisce di solito: attenzione alle email da aziende con cui non si hanno rapporti o da colleghi di altri dipartimenti.
  • Errori di ortografia: questo è un ottimo segnale. Parole scritte in maniera errata, non coerenti tra loro, un uso maldestro della lingua o l’insolita presenza di caratteri speciali o simboli. Più il mittente è autorevole, più è strano che compia errori di questo tipo.
  • Messaggio che suscita paura: attenzione il mittente usa un linguaggio allarmante (questo è un esempio di social engineering di cui si accennava poco sopra) che spinge ad agire immediatamente per evitare la chiusura dell’account oppure il blocco o la cessazione di un servizio per noi importante.
  • Allegati inaspettati o strani: siate sicuri prima di aprire gli allegati perché possono contenere virus o malware.
  • Link che sembrano “strani”: allo stesso modo degli allegati, fate molta attenzione sia ai link su cui cliccate, sia all’URL effettivo di quel link (è l’indirizzo della pagina che si visualizza passando con il mouse sopra il link).

Cliccando sul link o aprendo l’allegato malevolo, i truffatori possono:

  • Installare malware sul nostro dispositivo, rubando i nostri dati o bloccando l’accesso al sistema (ransomware)
  • Reindirizzarci a un sito web falso, apparentemente identico a quello originale, dove ci verrà chiesto di inserire le nostre credenziali di accesso.

Phishing: una minaccia invisibile

Il phishing è in costante evoluzione

Negli ultimi anni, grazie al fatto che il phishing è una minaccia invisibile, i criminali informatici hanno affinato le loro tecniche, rendendo le truffe sempre più sofisticate e difficili da riconoscere. Nuove varianti come lo spear phishing, mirato a specifiche vittime, e il whaling, che prende di mira figure di alto profilo, rappresentano una minaccia crescente.

Lo spear phishing  (spear in inglese significa lancia, fiocina) ed è una variante del phishing in cui i truffatori sono in possesso di informazioni personali o di lavoro delle vittime attraverso le quali personalizzano i loro messaggi. Generalmente il truffatore ha fatto ricerche sulla vittima designata, spesso utilizzando i social media oppure altri dati recuperati da fonti pubbliche, così da creare un messaggio che sembri provenire da qualcuno che la vittima designata conosce e di cui si fida. Può anche accadere che faccia riferimento a situazioni con cui la potenziale vittima ha familiarità. Questo rende le e-mail o i messaggi più convincenti e aumenta la probabilità che la vittima cada nell’inganno.

Il whaling (whale in inglese significa balena) è un tipo di spear phishing che prende di mira un individuo di alto profilo, ad esempio, un amministratore delegato di un’azienda importante, un politico conosciuto o  celebrità nel mondo dello spettacolo . In questo tipo di attacco il truffatore utilizza credenziali compromesse della posta elettronica,  per inviare messaggi dall’account e-mail effettivo di un’autorità, rendendo la truffa molto più difficile da rilevare.

Come proteggersi da una minaccia invisibile?

Ecco alcuni consigli utili per difendersi da questa insidiosa minaccia che sembra essere invisibile…ma con un po’ di attenzione non lo è:

  • Diffidare sempre dalle email che richiedono informazioni personali o finanziarie. Le organizzazioni legittime non chiedono mai questo tipo di dati tramite email.
  • Verificare l’indirizzo email del mittente. Controllare attentamente l’indirizzo, prestando attenzione a eventuali errori di ortografia o domini sospetti.
  • Non cliccare mai su link sospetti. Se si ha il dubbio sulla legittimità di un link, è meglio non cliccarci sopra. Inserire manualmente l’indirizzo nel browser per accedere al sito web desiderato. passare il mouse sopra il link per verificarne l’URL effettivo.
  • Utilizzare un software antivirus/anti-malware affidabile. Un buon antivirus può aiutarci a bloccare i siti web di phishing e a proteggere il nostro dispositivo dai malware.
  • Attivare l’autenticazione a più fattori, conosciuta anche come strong authentication, per i nostri account online. L’autenticazione a più fattori, aggiunge un ulteriore livello di sicurezza, rendendo più difficile per i truffatori accedere ai nostri dati anche se ottengono la nostra password.
  • Segnalare sempre i tentativi di phishing alle autorità competenti come la Polizia Postale.

Ricorda: la prudenza e l’attenzione sono le nostre migliori armi contro il phishing.

 

ADOC APS Veneto – A tutela dei tuoi diritti.

 

 

Commenta l'articolo o scrivici compilando il form

Consulta la nostra Privacy Policy
Condividi su
Adoc