fbpx
Il Phishing per carpire i tuoi dati
Tech Confidential,  Tutelarsi Online

Phishing: rispondimi, “ti amo”

Tempo di lettura - 5 minuti

Il Phishing è uno dei tanti cybercrime ad oggi utilizzato per rubarti l’identità e fare cose che tu non faresti e/o acquistare ciò che non acquisteresti.

Una sua evoluzione è lo smishing, che usa i messaggi di testo (SMS) sui telefonini per attirare le vittime nella trappola ed estorcere informazioni personali, numeri di carte di credito a altri dati riservati.

Un tipo di phishing molto personalizzato, la truffa BEC (Business Email Compromise), ha trovato terreno molto fertile di recente. In questo tipo di attacco gli aggressori si fingono un’altra persona, in genere con alto livello di autorità o ruolo nell’azienda (il capo, il CEO o addirittura un cliente), per indurre un dipendente a effettuare un bonifico bancario fraudolento o altre azioni significative.

Come avviene un attacco phishing

Nella Cyber Security sono i comportamenti umani, prima ancora che le tecnologie, a fare la differenza.
Un tuo comportamento inconsapevole, nella tua interazione con le tecnologie digitali e con il WEB, può infatti mettere seriamente a rischio la tua sicurezza e quella della tua organizzazione

Spesso tutto ha inizio con una richiesta di informazioni riservate via e-mail o instant messages (via Skype o WhatsApp, tanto per fare degli esempi) oppure con link web che riconducono a una copia dei siti ai quali normalmente accedi tramite password.

Il linguaggio utilizzato spesso non genera sospetti in quanto:
• la e-mail spesso è ben scritta, costruita e reale;
• i siti sembrano “a prima vista” proprio i siti autentici;
• si fa uso di un linguaggio emotivo con tattiche perentorie o richieste urgenti di rispondere.

La fretta e l’abitudine ad utilizzare e-mail e instant messages, anche e soprattutto dai nostri smartphone, completano il quadro.

Possibili conseguenze

Pensa cosa capiterebbe se questi siti falsi così ben costruiti fossero il sito della tua banca o dell’INPS, la tua casella di posta in cloud o il sito di accesso a una Wi-Fi pubblica, accedendo alla quale inizi a navigare su tutti i tuoi siti personali.

Se hai ingenuamente risposto a una truffa di phishing, l’attaccante (a seconda delle informazioni che ha da te ottenuto) potrebbe ad esempio:

• Riutilizzare i tuoi nomi utente e password a suo beneficio;
• Rubare i tuoi soldi ed effettuare tutte quelle operazioni bancarie online che solo a te sarebbero riservate;
• Aprire conti bancari o richiedere carte di credito a tuo nome;
• Fare acquisti a tuo nome e spese;
• Mandare e-mail a tuo nome a tutti i tuoi contatti chiedendo soldi oppure impostare delle regole per cui tutte le tue e-mail private vengono ricevute anche da lui (al fine di ottenere altre informazioni tue e dei tuoi contatti);
• Vendere le tue informazioni ad altre parti che lo utilizzeranno per scopi illeciti o illegali (informazioni ben pagate nel Dark Web);
• Installare sul tuo device dei software per il controllo da remoto, per rubare informazioni sensibili (ad esempio tutte le password che hai salvato sul browser per evitare che ogni volta te le chieda) o per limitarne l’accesso (richiedendo quindi un riscatto per rimuovere tale limitazione).

Consigli utili per non abboccare

Di seguito alcune linee guida e consigli pratici per identificare e-mail e link web potenzialmente malevoli:
• Non fornire informazioni personali se non precedentemente concordate;
• Fornisci informazioni personali solo su siti attendibili che hanno la dicitura “HTTPS” nell’indirizzo web o hanno un’icona a forma di lucchetto;
• Se sospetti di aver ricevuto “un’esca di phishing”, contatta la società che è mittente dell’e-mail per telefono per verificare che il messaggio sia legittimo;
• Accedi al sito di un’azienda esclusivamente dalla home page ufficiale tramite la barra degli indirizzi del browser ignorando il collegamento in un messaggio di phishing sospetto. In caso di dubbio usa i motori di ricerca (es Google, Bing etc) per verificare qual è il sito ufficiale dell’azienda;
• Utilizza password complesse e possibilmente diverse per tutti i tuoi account e non salvarle nel browser né su documenti cartacei (fai uso eventualmente di un Password Manager);
• Verifica continuamente l’accuratezza dei conti bancari personali e risolvi immediatamente eventuali discrepanze;
• Evita siti Web discutibili;
• Collegati esclusivamente a Wi-Fi conosciute ed attiva il Wi-Fi solo in caso di reale necessità; evita Wi-Fi free (ovvero non dotate di credenziali di accesso);
• Installa sempre sui dispositivi digitali che utilizzi (smartphone compreso) un Antivirus e esclusivamente software/APP provenienti da fonti attendibili mantenendoli sempre aggiornati in base ai consigli dei produttori;

Il caso della posta elettronica

Nel caso della posta elettronica presta attenzione ai seguenti aspetti:

  1. La fonte è fidata?
    Prestare attenzione al mittente (“Da:”) – gli attaccanti si fingono spesso nostri colleghi, clienti, etc.. – e allo spelling di nomi e/o domini (es. “@iinstagram.com”, “@yah00.com) con cui potresti essere o entrare in contatto.
  2. L’oggetto dell’e-mail
    Un attaccante include spesso informazioni plausibili nell’oggetto per spingerci a credere che la e-mail sia fidata.
  3. Lo spelling e al contenuto
    Prestare attenzione se le e-mail malevole contengono errori grammaticali, ortografici e di sintassi (anche se stanno diventando sempre più precise e corrette)
  4. Se la mail la riceviamo nel nostro contesto lavorativo chiediamoci: Questa e-mail è rilevante per il mio ruolo e le mie
    responsabilità? La natura dell’e-mail ha a che fare con la nostra funzione?
  5. La e-mail si riferisce a un’azione che non abbiamo compiuto o che dovremmo compiere con una certa urgenza?
    Tipicamente gli attaccanti inviano questi messaggi in risposta a presunte “richieste” che avremmo fatto. Esiste uno scambio di e-mail che provi tale richiesta? Se si tratta di una e-mail singola c’è un altro riscontro in merito a tale attività?
  6. Gli allegati
    Molto spesso l’attacco avviene tramite l’allegato a un’e-mail di phishing. Non dobbiamo MAI aprire o interagire con un qualsiasi allegato all’interno di e-mail strane o sospette. Verifichiamo che:
    • il mittente sia legittimo,
    • il contenuto dell’e-mail si riferisca a situazioni storiche legittime,
    • il file allegato sia stato da noi richiesto,
    • l’allegato abbia un formato/estensione corretto
  7. I link
    Un attaccante proverà ad inserire link verso contenuti e siti web malevoli. Non dobbiamo MAI cliccare su link di cui non ci fidiamo al 100% e con cui non abbiamo familiarità.
    Spesso si tratta di domini registrati lavorando sulle lettere visivamente simili (es. www.tuabamca.it), oppure usando sottodomini che puntano ad altri siti (es. http://www.tuabanca.it.esempio.com/).
  8. Gli hyperlink (collegamento ipertestuale)
    Abbiamo ricevuto un’email con scritto “Clicca QUI”?
    • Tipicamente, passando con il cursore sul link scopriremo la reale destinazione (ben diversa da quella attesa/immaginata);
    • A volte possono essere messi in frasi che fanno richiamo a comportamenti usuali (esempio unsubscribe newsletter o segnala la e-mail come spam);
    • Copiamo e incolliamo il link in un editor di testo per analizzarlo.
  9. Elimina immediatamente i messaggi sospetti di essere spam evitando assolutamente di inoltrarli ad altri utenti

Esiste anche un sito che consente, gratuitamente, di conoscere se un nostro indirizzo mail è stato violato. Nella sezione “Notify me” è anche possibile iscriversi per ricevere una notifica qualora questo avvenga. In tal caso, la cosa da fare resta una sola e ben poco da esperti: cambiare la password violata ovunque sia stata utilizzata.

Perchè questo tipo di attacchi

Quasi sempre non si tratta di un attacco personale. Non siamo più nell’epoca in cui gli hacker erano i ragazzini con il cappuccio in testa che passavano le giornate davanti a un PC nel garage di casa.
Oggi ci sono vere e proprie organizzazioni che sfruttando le botnet (ovvero reti di server opportunamente infettati), inviano decine di migliaia di e-mail che simulano, nella grafica e nel contenuto, comunicazioni da parte di un istituto bancario, di un provider web, di un sito di aste online o di qualsiasi altra istituzione nota all’utente.
Perché viene fatto questo? Perchè il valore delle nostre informazioni personali nel 2020 è stato stimato in 1.000 miliardi di dollari!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

error: Il contenuto è protetto