Come Riconoscere ed Evitare le Truffe di Phishing - TechRobot

Come Riconoscere ed Evitare le Truffe di Phishing

In questa moderna era della globalizzazione, dove più dei due terzi della popolazione mondiale ha accesso agli SMS, alle chiamate mobili e alle email, i dati potrebbero facilmente portarci a concludere che più della metà della popolazione terrestre è stata esposta a un tentativo di phishing. L’esposizione suggerita è dovuta al fatto che gli attacchi di phishing sono per lo più eseguiti attraverso uno dei mezzi menzionati, con le email che sono il più comune. L’obiettivo finale di un attacco di phishing è ottenere le informazioni personali della vittima, con i dettagli bancari che rappresentano il tesoro. Questo articolo vi dirà tutto su questa minaccia informatica, e vi mostrerà come riconoscere ed evitare di cadere vittima dei phisher.

La Particolare Mappa Stradale delle Truffe di Phishing

L’obiettivo principale del Phishing è acquisire i dettagli di accesso personali ai tuoi conti finanziari. Sebbene nel corso degli anni i truffatori si siano evoluti con le tattiche utilizzate per ingannare le persone, ci sono, tuttavia, alcuni segnali di allarme che potrebbero rendere possibile rivelare chiamate, messaggi o email di phishing per quello che sono — una truffa!

  • Chiamate, e-mail e messaggi di testo di phishing da organizzazioni apparentemente affidabili. Vi è mai capitato di ricevere un’e-mail, presumibilmente inviata dal vostro “responsabile del conto”, in cui vi si chiedevano informazioni personali come il vostro numero di previdenza sociale e altri dettagli bancari? Vi interesserà scoprire che questi messaggi ed e-mail provengono da phisher che si spacciano per organizzazioni reali.
  • Le e-mail e gli SMS di phishing sono spesso accompagnati da storie infondate. Il trucco di queste storie eccitanti è quello di appassionare la vittima. Un famoso attacco di phishing di cui sono stati vittime diversi utenti bancari chiedeva ai clienti di “inviare nuovamente” i loro ultimi dati di accesso per aggiornare il database della banca. La richiesta è arrivata dopo che è stato raccontato come gli hacker abbiano recentemente attaccato l’infrastruttura di dati della banca.

Una storia più famosa, e facile da cui lasciarsi ingannare, sono quelle che sostengono che sono stati notati dei tentativi di accesso sospetti sul tuo account. Successivamente, agli utenti viene consigliato di reimpostare la loro password compilando alcuni dettagli personali, solitamente su un sito web falso che è stato creato o sul sito web effettivo che è stato temporaneamente dirottato.

Tipicamente, questo è il modo in cui i truffatori del phishing raccolgono in modo ingannevole le informazioni personali delle vittime:

  1. Acquistano i dati relativi alla vostra iscrizione a servizi online, ad esempio numeri di cellulare o indirizzi e-mail.
  2. Poi creano un’esca sotto forma di e-mail, testi e siti web falsi per convincere gli utenti che i messaggi provengono da organizzazioni che conoscete e di cui vi fidate.
  3. I truffatori inviano i messaggi in massa ai contatti inizialmente acquistati, a volte a migliaia di utenti contemporaneamente.
  4. I phisher utilizzano i dati raccolti dai destinatari ignari dei messaggi per effettuare acquisti e azioni non autorizzate utilizzando l’account delle vittime.

Tipi comuni di Phishing e come riconoscerli

Il phishing non è affatto limitato a quelli elencati di seguito, poiché i truffatori continuano a cambiare le loro tattiche; tuttavia, i resoconti degli attacchi di phishing ampiamente segnalati ci aiuterebbero a categorizzarli nei seguenti:

1. Il phishing tramite SMS coinvolge l’inoltro di messaggi di testo agli utenti di telefoni cellulari, chiedendo loro di contattare un agente del servizio clienti o di visitare un’organizzazione tramite un link incorporato nel testo. Cliccare sul link porta le vittime a una pagina di login o a una casella di dialogo di testo dove è richiesto inserire informazioni personali prima di ottenere pieno accesso al sito web o alla risorsa presunta. Questo tipo di attacco è in aumento in parte perché i produttori di telefoni cellulari hanno aderito alla rivoluzione di internet producendo per lo più smartphone.

Un modo semplice per identificare un attacco di phishing tramite SMS è che il messaggio viene solitamente inviato da numeri strani o addirittura contiene testi scritti male.

2. I messaggi di phishing tramite email vengono inviati via email a vittime ignare. Le email sono solitamente inviate in broadcast (CCN) a molteplici indirizzi email con logo e note a piè di pagina rubati dall’effettiva organizzazione o individuo che viene imitato. Gli attacchi di phishing via email raramente terminano con il messaggio stesso; ai destinatari del messaggio viene spesso chiesto di visitare un sito web popolare tramite un link testuale o di scaricare un allegato spam incluso nell’email. Nella pagina di destinazione del link allegato, alle vittime viene richiesto di inserire informazioni personali. La pagina web può altresì fare in modo che il malware si installi automaticamente su un computer non appena la pagina web viene caricata. Il malware di phishing caricato raccoglie informazioni personali dal computer, smartphone o dispositivo della vittima in uno dei molti modi:

  • Registrazione delle battute dell’utente durante la compilazione dei moduli
  • Valutare la cache dell’utente e inoltrarne il contenuto all’aggressore remoto.

Come nel caso del phishing tramite SMS, un’analisi approfondita dell’indirizzo email sorgente aiuterà il destinatario a isolare e segnalare i messaggi maligni come un attacco di phishing. Ad esempio, un phisher che vuole imitare l’Assistenza Clienti di Amazon potrebbe utilizzare un indirizzo come – *[email protected]*. Un’email legittima da Amazon verrebbe invece dall’indirizzo di dominio dell’azienda, ad esempio, *[email protected]*. Inoltre, nessuna organizzazione ben strutturata richiederà i tuoi dati personali o finanziari tramite email.

3. Spear phishing è un tipo di truffa più strategica che utilizza anch’essa la falla delle email. Rispetto al phishing via email, dove le email vengono inviate a diverse persone come messaggi broadcast, lo spear phishing è più mirato. I dipendenti di fornitori di servizi online o agenzie governative che sono stati segnalati come aventi accesso alle informazioni personali di diversi utenti sono i bersagli principali dello spear phishing.

L’email sembra essere inviata da un superiore, o dal capo dell’azienda, con la richiesta di accesso alle informazioni degli utenti. In altri casi, la mail viene inviata da fonti chiaramente sconosciute, con un’intestazione magnetica, abbastanza accattivante da spingere il destinatario ad aprire il messaggio. Il messaggio è solitamente vuoto e contiene un allegato; la curiosità porterà quindi il destinatario ad aprire l’allegato e a installare il ransomware sul computer.

Le vittime degli attacchi di spear phishing possono essere paragonate alla testa della proverbiale Idra. I dati raccolti durante tali attacchi vengono poi utilizzati per eseguire una violazione su larga scala degli account utente affiliati all’organizzazione interessata.

4. Clone phishing, come suggerisce il nome, comporta che una vittima riceva un’email con esattamente lo stesso contenuto di una precedentemente inviata da un’organizzazione di fiducia; il phisher, tuttavia, include un link insospettabile a un allegato maligno o a un sito web falso. L’unica variazione è che l’indirizzo email sorgente è leggermente alterato e reso molto simile a quello del mittente iniziale. Questa tattica rende il clone phishing il tipo più difficile da rilevare.

5. Phishing di tipo Whaling è molto simile al Spear phishing. L’intento è ottenere l’accesso a informazioni sensibili o personali di individui che si abbonano ai servizi di un’organizzazione. Tuttavia, gli attacchi di tipo whaling mirano alle ‘balene’ nelle organizzazioni – come i top executive e il consiglio di amministrazione.

6. Il phishing tramite pop-up è molto simile ai pop-up pubblicitari che interrompono la tua esperienza di navigazione mentre visiti un sito web monetizzato. Il phishing tramite pop-up, tuttavia, si presenta come un avviso, non come una pubblicità; il pop-up avverte l’utente di un documento o applicazione maligno non specificato che ha infettato il computer. Viene quindi data l’opzione di scaricare un antivirus che eliminerà la minaccia senza costi. Installare tale software espone il tuo computer al rischio di essere infettato da malware indesiderato; la minaccia dichiarata è per lo più un inganno.

Proteggerti dal Diventare Vittima di Phishing

In quest’epoca di ecommerce, per evitare di diventare una vittima o di essere utilizzati come canale per rivelare dati sensibili relativi alla tua organizzazione, di seguito sono riportate delle guide infallibili da seguire.

  • Backup dei dati. È essenziale avere una copia di backup dei dati vitali sul computer o sullo smartphone su un supporto esterno. Se doveste essere vittime di un attacco ransomware, la copia di backup dei vostri documenti sarà al sicuro su un servizio di cloud storage o su un supporto di archiviazione esterno non collegato alla rete del vostro computer.
  • Utilizzate l’autenticazione dell’utente in più fasi. I phisher sono sempre alla ricerca di dati di account come nome utente e password. In situazioni in cui è stata stabilita una seconda fase di autenticazione per i vostri account sensibili, avere la vostra password e il vostro nome utente diventa irrilevante. Un ottimo esempio di autenticazione a più stadi è il codice di conferma inviato al vostro contatto mobile quando effettuate transazioni bancarie o accessi. Un livello di autenticazione biometrica, come l’impronta digitale, la scansione dell’occhio o del volto, sono metodi sicuri per salvaguardare i nostri account.
  • Aggiornare i dispositivi con le ultime patch di sicurezza. I principali produttori di computer e smartphone aggiornano regolarmente i loro sistemi operativi per risolvere i bug e le falle attraverso cui i phisher sono stati identificati per attaccare. L’aggiornamento di questi dispositivi risparmierà agli utenti della tecnologia molti grattacapi per la sicurezza.
  • Evitate di aprire messaggi sospetti, tenendo conto di tutti i difetti menzionati, propri degli attacchi di phishing. Controllate attentamente il contenuto delle e-mail prima di cliccare sui link, aprire gli allegati o compilare i moduli allegati. Se siete costretti a confermare l’integrità di un’affermazione contenuta in un’e-mail, visitate direttamente il sito web dell’azienda, invece di passare attraverso un link fornito.

Conclusione

Con la crescita della presenza online di diverse organizzazioni e utenti individuali, c’è una maggiore tendenza che il phishing aumenti in scala e impatto. Ma con precauzioni proattive, come suggerito in questo articolo, gli utenti Internet dovrebbero riuscire a superare i phisher.