Cos'è il Phishing? 7 consigli per difendersi nel 2019

Cos'è il Phishing? 7 consigli per difendersi nel 2019
Evan Porter
Pubblicato: 07 luglio 2019

Mentre alcuni hacker provano a usare metodi furtivi per rubare le tue informazioni più preziose, come infettare il tuo computer con malware, altri provano semplicemente a chiederle. Questa pratica è chiamata “phishing” ed è uno dei metodi più efficaci per truffare vittime ignare.

Il phishing è un tipo di crimine informatico che in cui gli hacker si fingono figure autoritarie, come rappresentanti del servizio clienti o altre fonti attendibili, al fine di rubare preziose informazioni personali.

Gli attacchi di phishing si verificano solitamente tramite email, ma possono anche avvenire tramite messaggi di testo o via telefonica. Quindi, come fai a sapere di cosa fidarti e di cosa no?

Ecco la nostra guida completa per riconoscere gli attacchi di phishing, come difendersi e cosa fare se sei stato preso di mira da un criminale informatico.

Cos'è il Phishing? 7 consigli per difendersi nel 2019

Unsplash

Come funzionano gli attacchi di phishing?

Sebbene possa assumere diverse forme, la premessa di base del phishing è che un criminale cercherà di indurti a fornire volontariamente informazioni personali come numeri di carte di credito, password, numeri di conto e altro.

Ad esempio, potrebbe svolgersi più o meno così:

Immaginate di ricevere una mail urgente dalla compagnia della vostra carta di credito. Sembra che ci sia un problema con il vostro conto e, per sicurezza, è stato bloccato.

La mail, potrebbe invitarvi ad accedere a una pagina con le vostre credenziali per confermare la vostra identità e sbloccare la vostra carta o il conto.

Potreste quindi completare l’intero processo senza rendervi conto che l’email e la pagina di accesso sono fraudolente e che siete diventati vittime di un attacco di phishing.

Alcuni esempi comuni di email di phishing invitano a:

  • Sbloccare la vostra carta di credito o conto bancario
  • Aggiornare le vostre informazioni di contatto
  • Ripristinare il vostro conto o abbonamento
  • Confermare di aver ricevuto un pacco
  • Richiedere un rimborso o un pagamento
  • Inviare le informazioni fiscali vostre o di qualcun altro
  • Consentire un bonifico

Queste e-mail possono sembrare inviate da chiunque; dal tuo provider Internet, dal governo degli Stati Uniti e persino dal tuo capo.

Spesso in questi messaggi le richieste sono urgenti (l’account della carta di credito è bloccato) o molto allettanti (richiedere un rimborso).

Gli attacchi di phishing vengono solitamente effettuati in blocco utilizzando “kit di phishing” o cloni di e-mail o siti web che sembrano legittimi. Ad esempio, un criminale potrebbe clonare una popolare pagina di accesso di una banca, modificandone il codice affinché invii a lui le tue credenziali dopo averle inserite.

Tuttavia, in casi più rari è possibile anche essere presi di mira per un attacco di phishing ad personam. Questa pratica è nota come “spear-fishing” (pesca con fucile) e solitamente consiste in e-mail personalizzate che includono informazioni su di te o sulle persone che conosci. Ad esempio, potresti ricevere un’email urgente che sembra provenire dal tuo capo, chiedendoti di inviare le informazioni fiscali di tutti gli impiegati del tuo reparto.

Vi è anche il “whale-fishing” (pesca alle balene), un attacco di phishing particolarmente personale e sofisticato rivolto a un target di alto valore, come l’amministratore delegato di un’azienda importante.

Come individuare e prevenire gli attacchi di phishing nel 2019

Come individuare e prevenire gli attacchi di phishing nel 2019

Pixabay

Gli attacchi di phishing possono essere davvero spaventosi, proprio perché possono colpire chiunque e sono progettati per imitare perfettamente le transazioni quotidiane legittime.

Non bisogna accedere a siti web strani o condividere file su siti torrent per essere colpiti da un attacco di phishing. Nella tua casella di posta in arrivo potresti facilmente trovare un’e-mail fraudolenta che sembra provenire da Amazon, Netflix o dalla tua banca, sollecitando un’azione immediata.

Detto questo, gli attacchi di phishing non sono così difficili da individuare e prevenire, se sai cosa cercare.

Ecco alcuni suggerimenti per proteggerti mentre controlli le tue e-mail e gli altri messaggi.

1. Fai attenzione alle offerte ‘Troppo belle per essere vere’

Sviluppa un sano scetticismo verso i messaggi che ricevi, soprattutto se non conosci personalmente il mittente o se non ti aspetti il messaggio.

Errore bancario a tuo favore? Ti spetta un rimborso enorme su Amazon? L’agenzia delle entrate vuole mandarti soldi gratuitamente?

Sono tutti enormi segnali d’allarme che dovresti esaminare approfonditamente.

Attenzione, inoltre, a messaggi estremamente urgenti che sembrano richiedere un’azione immediata senza molto contesto.

2. Controlla con attenzione gli URL e gli indirizzi email

Allora, hai ricevuto un’email da Amazon che ti propone di richiedere il rimborso per un addebito errato. Sembra troppo bello per essere vero, ma cosa dovresti fare al riguardo?

Guarda attentamente l’indirizzo email del mittente. Ti sembra giusto?

Se qualcuno che sostiene di essere un rappresentante di Amazon ti contatta via email, il suo indirizzo email dovrebbe essere tipo “[email protected]” o includere una variante o sottodominio (come ad esempio support.amazon.com).

Se l’email proviene da un dominio con un errore di ortografia lieve (come Amazonn.com) o è stata inoltrata attraverso un dominio irriconoscibile o senza senso, è un altro segnale che si tratti di un’e-mail di phishing.

Assicurati di posizionare il cursore su qualsiasi link nell’email prima di fare clic, rivelando così l’URL di destinazione. Questi dovrebbero essere riconoscibili e applicabili anche al mittente.

Non visitare siti web con URL non riconoscibili e non rispondere alle e-mail che sono state inoltrate da domini senza senso.

3. Confermare l’autenticità prima di fornire informazioni critiche

È raro che un legittimo fornitore di servizi clienti ti chieda il numero completo del conto, della carta di credito o altre informazioni personali complete. Spesso utilizzano informazioni parziali (ultime 4 cifre del numero di conto o il tuo indirizzo) per verificare la tua identità.

Tuttavia, in alcuni casi, potrebbe essere necessario fornire veramente maggiori informazioni.

Se l’interazione sembra in qualche modo sospetta, provare a confermare l’autenticità della richiesta in ogni modo possibile.

Una buona strategia consiste nel chiamare il numero di telefono del servizio clienti legittimo elencato sul sito dell’azienda e parlare con qualcuno lì o trovare altre modalità di comunicazione ufficiali completamente separate dal messaggio di posta elettronica in questione.

4. Utilizzare un provider di posta elettronica affidabile

La maggior parte dei buoni provider di posta elettronica nel 2019 fornisce uno strato di protezione dagli attacchi di phishing e altre email di spam.

Outlook e Gmail, ad esempio, hanno accesso a una miriade di dati su truffe e messaggi maligni segnalati dagli utenti. Spesso riescono a filtrare le e-mail dannose prima ancora che tu le possa vedere, al contrario di alcuni provider più piccoli.

Chiunque tu scelga per il tuo account di posta elettronica, accertarti di esaminare a fondo le impostazioni di spam e, se necessario, chiedi all’assistenza clienti se hanno raccomandazioni da fare per la protezione dal phishing.

5. Stai attento alle raccolte di beneficenza per gli eventi mondiali importanti

Quando avviene un disastro naturale o un attacco terroristico, i truffatori spesso creano associazioni di beneficenza fraudolente per capitalizzare sulla solidarietà delle persone più caritatevoli.

Stai sempre attento a come utilizzi la posta elettronica, ma in particolare stai attento durante i periodi intensi di raccolta fondi e non fornire il numero della carta di credito a meno che tu non sia sicuro al 100% che la causa sia legittima.

Se desideri contribuire a una causa politica o umanitaria, cerca direttamente un’organizzazione di fiducia per fare la tua donazione.

6. Installa un antivirus con protezione anti-phishing

I migliori programmi antivirus includono funzionalità extra per aiutarti a proteggerti dalle frodi di phishing.

Potranno aggiungere un ulteriore strato alla protezione che ricevi dal tuo provider di posta elettronica e filtrare meglio lo spam accedendo alla loro vasta libreria di casi di phishing segnalati e altri attacchi.

7. Segnala potenziali attacchi di phishing

Sii un bravo cittadino e informa la tua banca, il tuo provider Internet o altre società se gli aggressori stanno conducendo attacchi a loro nome.

Potrebbero adottare misure di sicurezza aggiuntive, come inviare degli avvisi o modificare il design delle pagine di accesso per mantenere le persone più al sicuro.

Conclusione – Per essere protetto, sii scettico

Gli attacchi di phishing sono relativamente facili da evitare se sai come funzionano.

A differenza degli attacchi informatici con worm o degli attacchi di malware brute force, il phishing fa affidamento su di te, lasciando che sia tu ad abbassare la guardia e fornire le tue informazioni.

Il modo più semplice per stare al sicuro è non dare mai informazioni sensibili o importanti a nessuno online a meno che non si sia sicuri al 100% che rappresentino una fonte attendibile.

È più facile a dirsi che a farsi, naturalmente, con i moderni phisher che replicano perfettamente le pagine di checkout, le pagine di accesso e altri importanti portali web.

Ma se hai un occhio attento e controlli gli indirizzi e-mail e gli URL prima di cliccarli, dovresti riuscire a individuare un attacco prima di diventarne una vittima.