Il phishing è un attacco informatico in cui i soggetti vengono contattati tramite SMS, telefono, ma soprattutto email, da un soggetto che si fa passare per un’istituzione affidabile, per cercare di rubare dati sensibili alle persone, che possono andare dai dati bancari alle informazioni di identificazione personale, fino a password e dati della carta di credito.
Queste informazioni quindi, sono utilizzate per accedere a conti importanti e possono comportare il furto di identità e la perdita finanziaria. La prima causa per phishing è stata intentata nel 2004 contro un adolescente californiano che ha creato l’imitazione del sito web “America Online”. Con questo sito fasullo, è stato in grado di ottenere informazioni sensibili dagli utenti e accedere ai dati della carta di credito per prelevare denaro dai loro conti. Oltre al phishing tramite siti web ed email, esistono anche il “vishing” (phishing vocale), lo “smishing” (SMS Phishing) e molte altre tecniche di phishing che i criminali informatici utilizzano costantemente.
Caratteristiche comuni delle email di phishing
- Troppo bello per essere vero – Le offerte redditizie e le dichiarazioni accattivanti o accattivanti sono progettate per attirare immediatamente l’attenzione delle persone. Ad esempio, molti affermano di aver vinto un iPhone, una lotteria o qualche altro premio sontuoso. Basta non fare clic su eventuali e-mail sospette. Ricorda che se sembra bello essere vero, probabilmente lo è!
- Senso di urgenza – Una tattica preferita dai criminali informatici è chiederti di agire rapidamente perché i super affari sono solo per un tempo limitato. Alcuni di loro ti diranno anche che hai solo pochi minuti per rispondere. Quando ti imbatti in questo tipo di email, è meglio ignorarle. A volte, ti diranno che il tuo account verrà sospeso a meno che tu non aggiorni immediatamente i tuoi dati personali. Le organizzazioni più affidabili dedicano molto tempo prima di chiudere un account e non chiedono mai agli utenti di aggiornare i dettagli personali su Internet. In caso di dubbio, visita direttamente la fonte anziché fare clic su un collegamento in un’e-mail.
- Collegamenti ipertestuali – un collegamento potrebbe non essere tutto ciò che sembra. Passa con il mouse su un collegamento e viene visualizzato l’URL effettivo a cui verrai indirizzato facendo clic su di esso. Potrebbe essere completamente diverso o potrebbe essere un sito web popolare con un errore di ortografia, ad esempio www.bankofarnerica.com – la “m” è in realtà una “r” e una “n”, quindi guarda attentamente.
- Allegati – Se vedi un allegato in un’email che non ti aspettavi o che non ha senso, non aprirlo! Spesso contengono payload come ransomware o altri virus. L’unico tipo di file su cui è sempre sicuro fare clic è un file .txt.
- Mittente insolito – Se sembra che provenga da qualcuno che non conosci o qualcuno che conosci, se qualcosa sembra fuori dall’ordinario, inaspettato, fuori dal personaggio o semplicemente sospetto in generale, non fare clic su di esso!
Prevenire gli attacchi di phishing
Sebbene gli hacker elaborino costantemente nuove tecniche, ci sono alcune cose che puoi fare per proteggere te stesso e la tua organizzazione:
- Per proteggersi dalle e-mail di spam, è possibile utilizzare i filtri antispam e installare un software antivirus gratuito affidabile per proteggere il tuo PC. In genere, i filtri valutano l’origine del messaggio, il software utilizzato per inviare il messaggio e l’aspetto del messaggio per determinare se si tratta di spam. Un software antivirus, invece, ti aiuta a mantenere pulito il tuo PC e alcuni ti proteggono proprio dal pishing tramite impostazioni avanzate.
- Le impostazioni del browser devono essere modificate per impedire l’apertura di siti Web fraudolenti. I browser mantengono un elenco di siti Web falsi e quando si tenta di accedere al sito Web, l’indirizzo viene bloccato o viene visualizzato un messaggio di avviso. Le impostazioni del browser dovrebbero consentire l’apertura solo di siti Web affidabili.
- Molti siti Web richiedono agli utenti di inserire le informazioni di accesso mentre viene visualizzata l’immagine dell’utente. Questo tipo di sistema può essere esposto ad attacchi di sicurezza. Un modo per garantire la sicurezza è cambiare le password regolarmente e non utilizzare mai la stessa password per più account. È anche una buona idea che i siti web utilizzino un sistema CAPTCHA per una maggiore sicurezza.
- Le banche e le organizzazioni finanziarie utilizzano sistemi di monitoraggio per prevenire il phishing. Gli individui possono segnalare il phishing a gruppi del settore in cui è possibile intraprendere azioni legali contro questi siti Web fraudolenti. Le organizzazioni dovrebbero fornire una formazione sulla consapevolezza della sicurezza ai dipendenti per riconoscere i rischi.
- Sono necessarie modifiche alle abitudini di navigazione per prevenire il phishing. Se è necessaria la verifica, contattare sempre personalmente l’azienda prima di inserire qualsiasi dettaglio online.
- Se è presente un collegamento in un’e-mail, passa prima il mouse sull’URL. I siti Web protetti con un certificato Secure Socket Layer (SSL) valido iniziano con “https”. Alla fine tutti i siti dovranno avere un SSL valido.
In genere, le e-mail inviate da un criminale informatico sono mascherate in modo che sembrino inviate da un’azienda i cui servizi sono utilizzati dal destinatario. Una banca non chiederà informazioni personali via e-mail o sospenderà il tuo account se non aggiorni i tuoi dati personali entro un certo periodo di tempo. La maggior parte delle banche e degli istituti finanziari di solito fornisce anche un numero di conto o altri dettagli personali all’interno dell’e-mail, il che garantisce che provenga da una fonte affidabile.