Che cos’è il Phishing? Riconoscere ed evitare le truffe di phishing

Il phishing prende di mira i dati personali che possono essere "pescati" online. Dalle conversazioni private ai dati finanziari e persino all'accesso ai conti bancari, dalle foto personali alla cronologia delle ricerche o ai dettagli del comportamento online: tutto questo è prezioso per gli utenti, ma anche per gli hacker che cercano di ingannarli per ottenerlo.

 

Che cos'è il Phishing?

Il phishing è un tipo di frode online che si basa su attacchi di ingegneria sociale per indurre gli utenti a divulgare le loro informazioni sensibili, tra cui il numero di carta di credito e le credenziali di accesso, spacciandosi per un'entità fidata. Il phishing viene solitamente effettuato tramite e-mail, SMS o applicazioni di messaggistica istantanea attraverso un link pericoloso. Ma i link di phishing possono anche essere inseriti di nascosto nei messaggi pubblicati su social network, bacheche, ecc.

il Phishing

Le truffe di phishing sono il vettore di attacco più efficace per rubare informazioni sensibili. Anche se gli aggressori hanno molte opzioni, preferiscono il phishing perché riesce a fare una cosa meglio di qualsiasi altro metodo: ingannare le vittime e renderle partecipi del loro stesso attacco.

 

Come avviene un attacco di phishing?

Un classico attacco di phishing inizia con un messaggio di posta elettronica o un SMS che sembra provenire dalla vostra banca, dal vostro provider di servizi di posta elettronica o da un'altra azienda affidabile a cui siete iscritti. Questi messaggi di solito richiedono di seguire un link per convalidare alcune informazioni personali. In caso di mancato rispetto, l'account viene sospeso o chiuso. Per guadagnare credibilità, un messaggio di phishing di solito include loghi e identità visive strappate all'entità impersonata. Invece di portare l'utente alla pagina web della banca, però, il link punta al sito web del truffatore. Tutto ciò che viene compilato viene inviato all'aggressore e utilizzato per accedere illegalmente al conto. Una volta compromesso il conto, l'aggressore può abusarne in vari modi, a seconda del tipo di conto. Nel caso di un sito web di e-banking, un hacker potrebbe effettuare pagamenti o trasferire denaro dal conto dell'utente. Un account di posta elettronica può essere utilizzato per accedere a conversazioni private o inviare spam ad altri utenti e così via.

Immaginate di essere in fila per un caffè e che il vostro telefono inizi a suonare. Improvvisamente ricevete due messaggi di testo, un'e-mail e una chiamata persa, tutti dalla vostra banca che vi comunica il sospetto di attività fraudolente sul vostro conto. Hanno bloccato i vostri conti per motivi di sicurezza e vi invitano a contattarli per sbloccarli. Volete seguire la vicenda, ma c'è qualcosa che non quadra.

il phishing - attacco

L'analisi di Cofense Intelligence ha rilevato che il 70% degli incidenti di phishing coinvolge ruba-informazioni e keylogger, ovvero programmi malware che raccolgono segretamente informazioni dal vostro computer, consentendo ai truffatori di carpire le vostre credenziali.

Le più comuni truffe tramite e-mail di phishing prevedono un messaggio che segnala un'attività sospetta sul conto e che, per sbloccare il conto, è necessario fornire informazioni personali. Una volta fornite queste informazioni, l'aggressore può usarle per ripulire i vostri conti bancari o per fare acquisti fraudolenti con la vostra carta di credito. La truffa "smishing" (SMS + phishing) segue la stessa logica, con la differenza che la modalità di contatto del truffatore avviene tramite un messaggio di testo.

 

Indicatori ed esempi di e-mail di phishing

Con un numero sempre maggiore di messaggi di phishing, imparerete a identificarli con una rapida occhiata. Di solito questi messaggi sono pieni di errori di ortografia. Questo accade soprattutto perché l'aggressore non è madrelingua. Il messaggio è inoltre impersonale e generico. Spesso inizia con "Caro utente" e non include il nome utente o il nome completo. A differenza dei messaggi legittimi del fornitore di servizi, i messaggi di phishing non riportano il nome completo o il nome utente. Sono progettati per ingannare tutti i destinatari, non solo voi, e gli aggressori non sanno chi siete. Sperano solo che abbiate un account sul rispettivo servizio. Il link che dovreste seguire è anche diverso dall'URL che inserite nel vostro browser quando accedete al rispettivo servizio. Spesso l'URL inizia con un indirizzo IP.

Alcune delle e-mail di phishing più redditizie fingono di provenire dalla Apple Inc. di Cupertino, California. Gli operatori dietro queste campagne hanno affinato le loro abilità per creare messaggi quasi indistinguibili dalla grafica di Apple. Così armati, inducono migliaia di utenti a consegnare le loro password e i dati delle loro carte di credito, pensando di comunicare con l'assistenza reale di Apple. In realtà, stanno consegnando i loro dati agli aggressori. Come mostra lo screenshot qui sotto, il messaggio incute timore dicendo che il vostro account è stato compromesso, che Apple lo ha bloccato "per motivi di sicurezza" e che ora dovete reinserire tutti i vostri dati per confermare che siete voi e non l'hacker.

Una tipica e-mail di phishing

Una tipica e-mail di phishing

 

Il messaggio è realizzato abbastanza bene da ingannare l'occhio inesperto, ma alcuni segnali rivelatori indicano che siamo stati truffati.

 

Indizio n. 1: "[email protected] è stato temporaneamente disabilitato"

Chiedetevi questo: Come è possibile che il mio account sia stato disabilitato se sto ricevendo questo messaggio sul mio attuale account e-mail iCloud, al quale posso ancora accedere con il mio attuale ID Apple e la mia password? C'è qualcosa che non quadra.

 

Indizio n. 2: il mittente dell'e-mail

I truffatori di solito cercano di imitare l'indirizzo e-mail dell'azienda che stanno impersonando. In questo caso, hanno utilizzato l'iconico moniker "i" tipico della nomenclatura Apple. Questo ha lo scopo di aggiungere credibilità e di evitare i meccanismi anti-phishing. Cliccando sul nome dell'indirizzo si scopre anche l'indirizzo reale da cui proviene l'e-mail. L'indirizzo "[email protected]" non assomiglia affatto alla vera Apple di Cupertino.

iSupport

Per qualsiasi altro servizio o azienda che gli aggressori potrebbero impersonare, controllate le e-mail legittime precedenti per verificare l'aspetto dell'indirizzo reale.

 

Indizio n. 3: "Il tuo ID Apple è stato bloccato per motivi di sicurezza"

Tipico oggetto scareware. Le truffe di phishing cercano di spaventarvi dicendo che qualcosa è andato storto e che dovete agire IMMEDIATAMENTE. È un classico indizio del fatto che si tratta di una truffa. E "ragione" (in inglese, la parola "reason") non dovrebbe essere al plurale? L'inglese scadente è sempre un segno di diffidenza.

 

Indizio n. 4: "vai QUI" non porta effettivamente al sito web di Apple

Passando il cursore del mouse su qualsiasi collegamento ipertestuale, si vedrà l'URL effettivo senza dover fare clic su di esso. In questo esempio, iCloud Mail è aperto in Chrome, che rivela l'URL nell'angolo inferiore sinistro della finestra del browser. Microsoft Outlook rivela l'URL in una bolla quadrata, proprio sopra il cursore del mouse.

il Phishing - "vai QUI" non porta effettivamente al sito web di Apple

La prima cosa da notare è che l'URL è stato accorciato. Nessuna azienda legittima, in particolare Apple, farebbe mai una cosa del genere. Ma supponiamo che non ve ne accorgiate e che facciate clic sul link. In genere, verrete portati su una pagina progettata per sembrare il sito web di Apple. È probabile che la pagina contenga un modulo che richiede l'inserimento di dati personali e talvolta anche di dati finanziari. Non fatelo! Apple non vi chiederà mai di fare nulla di tutto ciò, anche se il vostro account viene violato.

Esempio di modulo falso - il phishing

Esempio di modulo falso - Truffa di phishing

 

Indizio n. 5: "Il tuo account sarà disabilitato in modo permanente se non verifichi il tuo account entro 24 ore"

Un'altra dose di allarmismo, nel caso in cui i primi tentativi avessero fatto cilecca. Nessuna azienda disabiliterà mai in modo permanente il vostro account semplicemente perché è stato violato. Al contrario. Cercheranno di risolvere il problema dell'account e di aiutarvi a continuare a utilizzarlo.

Anche qui manca un verbo, nella frase originale in inglese.

 

Indizio n. 6: firma e-mail

Le grandi aziende come Apple, Facebook e Google in genere firmano le e-mail usando solo il nome dell'azienda. Alcune possono contenere termini come "Support" o "Team", ecc. Questo varia a seconda dell'azienda. Ma "Informazioni su Apple"?

Non sembra il nome di un dipartimento, vero? In effetti, sembra quasi che i truffatori fossero a corto di idee.

Se avete dei dubbi, cercate l'ultima e-mail legittima proveniente dalla stessa azienda e confrontate le firme. Se non corrispondono, sapete che si tratta di un tentativo di phishing.

 

Indizio n. 7: nessun URL dove dovrebbe essercene uno

Le parole ID Apple e Informativa sulla privacy possono sembrare collegamenti ipertestuali. In realtà, si tratta di collegamenti ipertestuali falsi che non portano da nessuna parte. Un altro segno che qualcosa non quadra. Una "Informativa sulla privacy" deve essere accessibile al cliente per esaminare i diritti e gli obblighi di tutte le parti coinvolte.

Qui siamo di fronte a una replica incompleta del modello di Apple:

Fake hyperlinks in phishing scams

Questo è un classico esempio di come i truffatori operano attraverso le campagne di phishing.

 

Come si fa a bloccare le e-mail e gli SMS di phishing?

La difesa antiphishing prevede un meccanismo a più livelli.

  1. La prima linea di difesa è il filtro antispam: una funzione che di solito è integrata nella vostra soluzione di sicurezza e che filtra le e-mail spazzatura dai messaggi legittimi. Un buon filtro antispam blocca il tentativo di phishing nella sua fase iniziale, in modo che non vediate nemmeno l'esca che vi viene lanciata.
  2. La seconda linea di difesa è un buon filtro per le truffe di phishing su Android. Il filtro Allerta Truffe di Bitdefender monitora gli SMS in arrivo in tempo reale e vi avvisa quando un link pericoloso arriva in un messaggio di testo sul vostro smartphone.
  3. Il terzo livello di difesa è il modulo anti-phishing o anti-frode, un altro componente dell'antivirus che analizza la pagina web su cui si atterra e determina se è stata progettata per rubare i vostri dati. Anche se siete caduti nella truffa e avete aperto il messaggio di phishing, il modulo anti-phishing dovrebbe impedirvi di compilare il modulo con i vostri dati sensibili (numero di carta di credito, data di scadenza, CVV o numero PIN, tra gli altri).
  4. Infine, ma non meno importante, l'impostazione dell'autenticazione a due fattori per gli account che la supportano assicura che, anche se qualcuno si impossessa delle vostre credenziali di accesso, non possa accedere senza una password secondaria inviata dal servizio sul vostro dispositivo mobile o token.

 

Cosa fare se si riceve un tentativo di phishing

Data l'esplosione degli attacchi di ingegneria sociale come le truffe di phishing, vishing o smishing, è saggio essere scettici nei confronti di e-mail, telefonate e messaggi di testo urgenti e inaspettati che si ricevono. Usate il vostro discernimento. Se ricevete un'e-mail, un SMS o una telefonata in cui vi si dice che c'è stata un'attività sospetta su un conto, fate attenzione. Come regola generale, non offrite mai i vostri dati personali, la password o i dati della carta di credito via e-mail prima di aver verificato accuratamente che il mittente sia chi dice di essere.

La cosa più importante da ricordare è questa: le aziende legittime non vi chiederanno mai di fornire i vostri dati personali tramite e-mail o messaggi. E non vi chiameranno nemmeno per chiederveli. Gli istituti finanziari possono informarvi che hanno dovuto congelare i vostri conti in base ad attività sospette, ma poi vi daranno istruzioni per sbloccarli. Invece di chiedervi le credenziali, di solito vi consigliano di accedere al vostro conto online tramite una connessione Internet sicura per verificare le transazioni. Se ricevete un messaggio di questo tipo, contrassegnatelo come spam e cancellatelo. Questo non significa che ogni messaggio di avviso debba essere considerato una truffa. Assicuratevi solo di indagare a fondo prima di intraprendere azioni di cui potreste pentirvi in seguito.

Per prevenire le truffe di phishing:

  1. Non cliccate mai sul link fornito nell'e-mail e non chiamate i numeri di telefono indicati. Visitate invece il sito web ufficiale dell'organizzazione e contattate il numero del servizio clienti ivi indicato. In alternativa, potete chiamare il numero riportato sul retro della vostra banca o della vostra carta di credito.
  2. Impostate la vostra casella di posta elettronica per filtrare lo spam e le e-mail di phishing. Attivate Bitdefender Antispam sui computer Windows che utilizzano Microsoft Outlook e Mozilla Thunderbird. Per quanto riguarda gli utenti Apple, se si riceve un'e-mail di phishing che sembra provenire da Cupertino, Apple consiglia di inoltrare il messaggio con le informazioni complete sull'intestazione a [email protected] in modo che l'azienda possa indagare sulla questione.
  3. Passate il mouse su ogni link per verificare che vada dove vi aspettate prima di fare clic.
  4. Ricordate che le truffe con impostore sono il primo tipo di frode online. Oltre al phishing e allo smishing, questi attacchi assumono anche la forma del vishing (o voice phishing), in cui qualcuno si spaccia per la polizia, la vostra banca o altre forme di autorità.

 

Cosa fare se avete già risposto a un messaggio di phishing

Se siete stati vittime di una truffa e avete fornito la vostra password, i vostri dati bancari, le vostre informazioni di identificazione personale o altre informazioni personali sensibili, il truffatore è già in possesso dei vostri dati.

A seconda delle informazioni divulgate, è bene intraprendere immediatamente le seguenti azioni:

  1. Cambiare la password dell'account - e-mail, social media, ecc. - di cui avete fornito le informazioni. Se utilizzate la stessa password anche altrove, cambiate anche quella. Se avete difficoltà a ricordare tutte le vostre password, potreste trarre vantaggio dall'uso di un gestore di password.
  2. Se avete fornito a un truffatore i vostri dati bancari, contattate subito la vostra banca e spiegate che siete vittime di una truffa.
  3. Denunciate il phishing alle autorità competenti se avete pagato una persona che ritenete essere un truffatore, se avete dato informazioni personali o se la persona in questione ha accesso ai vostri dispositivi.