Come proteggersi dal phishing? 5 consigli applicabili subito

D’istinto, vi sarà capitato di trovarvi di fronte ad un e-mail che vi spinge a cliccare su un link in allegato.
I motivi che spingono le vittime di phishing a restare impigliate nella rete dell’hacker sono molteplici, anche perché dobbiamo dirlo, negli ultimi anni le truffe via e-mail sono divenute via via sempre più accurate tanto da trarre in inganno anche gli utenti più consapevoli.

Quando vi trovate di fronte a potenziali truffe via e-mail le domande da porvi prima di cedere alla voglia di scoprire di più in merito alla veridicità di un contenuto sono diverse. Eccone alcune:

• Aspetta, ma io non ho mai aperto un conto Gruppo Intesa San Paolo!

• Perché vogliono le mie credenziali di accesso?

• Questa e-mail sembra una truffa, come hanno fatto a scoprire che compro da Decathlon?

• Che orribile punteggiatura, siamo sicuri che sia vera?

In effetti, il fenomeno phishing da ormai un decennio si è evoluto con grade facilità: dai primi tentativi di truffa nigeriana ad oggi, le tecniche di persuasione degli attaccanti sono divenute sempre più mirate e accurate al punto da trarre in inganno anche gli utenti più meticolosi.
Tuttavia, il numero di vittime cadute preda dell’inganno phishing sono perlopiù coloro che possiedono poca dimestichezza con la tecnologia.

Il phishing è una tipologia di truffa online insidiosa che normalmente viene inviata alla vittima attraverso l’e-mail. Questa tecnica di attacco informatico serve a “collezionare” informazioni personali e sensibili riguardanti la vittima.
In particolare, le campagne di phishing sono indirizzate alla raccolta di informazioni su carte di credito, credenziali e informazioni personali.

“Phishing” suona esattamente come la parola “fishing” (“pesce” in inglese). Ecco perché nell’immaginarvi la logica di funzionamento di una campagna di phishing potreste pensare all’analogia di un pescatore che lancia l’amo con l’esca nell’acqua (l’email di phishing), sperando che la vittima abbocchi la presa.

I cybercriminali usufruiscono di genere delle truffe phishing per acquisire dati sensibili seguendo uno schema specifico.

Normalmente, il truffatore si nasconde dietro gli indirizzi che contengono specifici riferimenti ad aziende note nel campo della finanza, logistica, delle tecnologie o nei casi più sofisticati, il mittente delle e-mail phishing può fingersi una persona reale. Addirittura, in seguito all’emergenza Covid 19 abbiamo assistito alla crescita esponenziale del phishing degli enti benefici, in altre parole l’hacker che invia le e-mail si finge un ente benefico.

Solitamente le campagne di phishing partono con l’invio massivo di email, o in alternativa si servono degli SMS (smishing), delle chiamate vocali (vishing) ma anche dei messaggi via chat sulle piattaforme social network.

Tuttavia, grazie a pochi e semplici consigli sarà possibile per voi identificare con la massima precisione le e-mail fraudolente e cestinarle prontamente.

Spesso gli attacchi di phishing prevedono l’invio di e-mail che contengono link di rimando ad una pagina web.
La giustificazione a cui ricorre l’hacker in fase di invito dell’utente a visitare il sito web in oggetto può variare a seconda dei casi: conferma della password, del numero di carta di credito o di altre informazioni personali.

Ecco dunque che, quando l’utente clicca sul link in oggetto il collegamento potrebbe portarlo su una pagina web falsa, ma realistica.

Un primo controllo per difendersi dai cybercriminali che tentano di sottrarre i nostri preziosi dati tramite siti web phishing è quello di per quanto possibile verificare la sicurezza del sito.

1. Per prima cosa, verificare la presenza dell’icona a forma di lucchetto nello spazio dedicato all’URL del sito web. La presenza dell’icona segnala che sì abbiamo stabilito una una connessione sicura (come una connessione SSL) e che siano presenti protocolli di sicurezza come HTTPS.
2. Prestate attenzione all’URL o all’indirizzo: solo perché un indirizzo sembra legittimo, non significa necessariamente che lo sia. I collegamenti e gli indirizzi di siti Web che contengono contenuti dannosi possono sembrare quasi identici ai siti legittimi, in genere utilizzando lievi modifiche dell’ortografia, caratteri speciali aggiuntivi e/o un dominio diverso. Dunque, passate il mouse sopra l’URL inserito nell’email prima di fare clic su di esso per dare un’occhiata a dove ti porterà effettivamente.
3. Valutate il contenuto e il design del sito web. In altre parole, cercate errori di ortografia di base, cattivo uso della lingua, errori grammaticali o immagini a bassa risoluzione.
4. Fate ovviamente riferimento alle recensioni online. Cercando online l’url del sito web se esistono recensioni negative o recensioni di avvertimento, probabilmente è meglio che ne teniate conto.
5. I siti web attendibili accettano sempre le carte di credito come metodo di pagamento: se vi trovate su un sito web che accetta come unico metodo di pagamento il bonifico bancario, identificate la cosa come segnale di allarme.

Le compagnie ufficiali non chiedono mai informazioni private via e-mail, questo è un ulteriore campanello d’allarme. Se ricevete un’email o una chiamata da parte di un soggetto che vi esorta a consegnare velocemente determinati dati, mantenete la calma e non fatevi ingannare.

Per confermare ulteriormente i vostri sospetti circa la possibile truffa, potrete constatare che:

• Il vostro nome non è presente nell’email o nel messaggio, al suo posto c’è un generico “Gentile cliente”.
• Il testo del messaggio è monoblocco, contiene errori grammaticali e ortografici;
• Solitamente, il messaggio vi esorta a fare quanto richiesto minacciandovi di sospendere il servizio al quale siete collegati o l’account in caso di mancata risposta.
• Nessuna data di scadenza per l’invio delle informazioni, solo limiti di tempo;
• Sono presenti file allegati e collegamenti sospetti, aspetto che approfondiamo nel prossimo paragrafo.

Gli allegati o i link nelle e-mail di phishing sono l’elemento più pericoloso.

La presenza di questi riferimenti all’interno di messaggi di posta phishing vi espone a due problemi: il rischio di scaricare un’applicazione spyware o un malware o di reindirizzarvi su un sito web truffa.

Come possiamo evitare questo spiacevole inconveniente?

• Non salvare informazioni e dati bancari su smartphone e dispositivi mobili.
  Queste informazioni riservate potrebbero essere intercettate in caso di installazione di malware sul dispositivo.
• Non rispondere e non selezionare link contenuti in messaggi che offrono buoni sconto e vincite di concorsi a premi.
• Diffidate di qualunque e-mail che vi richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio home banking o altre informazioni personali. La vostra banca non richiederà mai tali informazioni via e-mail.
• Evitare di rispondere a numeri di telefono sconosciuti specie se provenienti da aree/nazioni con cui non si hanno rapporti.
• Elimina il messaggio.

• Fate una ricerca sul web riguardo alla e-mail sospetta, così si scoprirà se si tratta di una normale conversazione, o se altre persone, prima di voi, si sono trovate nella stessa situazione;
• Controllate l’indirizzo email da cui proviene il messaggio (visualizzate l’informazione nell’header dell’email): il dominio appartiene davvero all’azienda che vi ha spedito il contenuto?
• Visualizzate l’indirizzo da cui proviene l’email e confrontatelo con i messaggi che avete già ricevuto dello stesso soggetto.
• Contattate direttamente attraverso i recapiti ufficiali l’azienda che dice di avervi spedito il messaggio e verificate che si tratti davvero di loro stessi.
• Segnalate la truffa alle autorità competenti. Sia che si tratti di messaggi phishing sia che si tratta di email, potete segnalare il tentativo di phishing documentando tutto tramite reperti fotografici.

Nonostante il vostro team di lavoro disponga di ottime misure di sicurezza informatica, alcune e-mail di phishing vi potranno arrivare comunque.

Parlando di sicurezza informatica, spesso sono proprio le persone il punto debole.
I nostri collaboratori che – inavvertitamente – permettono all’hacker di sfruttare le vulnerabilità della tecnologia per estrapolare tutte le informazioni necessarie.

A tal proposito, è fondamentale che tutti i dipendenti sappiano riconoscere tentativi di phishing.

Non solo loro, ma anche le persone a noi care: genitori, amici, figli, collaboratori chi ha tendenze all’essere più esposto al pericolo ma non ha gli strumenti per potersi difendere.

Come possiamo supportare i nostri contati nel migliore dei modi?

• Costruite una cultura della sicurezza informatica positiva.
  La formazione regolare del personale aiuterà tutti a comprendere i segnali di un attacco di phishing, come le sue potenziali conseguenze.
  Ciò consente loro di segnalare potenziali e-mail di phishing;
• Verificare l’efficacia della formazione.
  Gli attacchi di phishing simulati aiuteranno a determinare l’efficacia della formazione sulla sensibilizzazione del personale e a identificare quali utenti potrebbero aver bisogno di ulteriore istruzione.

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni. Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci!