Parliamo di truffe telematiche: come difendersi dal phishing?
Lo sapevi che gli attacchi di phishing nel 2022 sono aumentati del 47,2% rispetto all’anno precedente? E che quasi 8 aziende su 10 in Italia, secondo il report State of Phish di Proofpoint, ne ha subito almeno uno che è riuscito nell’intento?
Le truffe online, in particolare quelle in ambito bancario, sono sempre più comuni e nell’ultimo anno hanno registrato un notevole incremento, soprattutto con la crescente diffusione dell'intelligenza artificiale che ha permesso ai cybercriminali di mettere a punto tecniche di phishing sempre più sofisticate. Se ti stai chiedendo che cos’è il phishing probabilmente sei nel posto giusto e sarai contento di sapere che dagli attacchi di questo tipo ci si può difendere.
La truffa che ti inganna: cos'è il phishing e come funziona
Per sapere come difenderti da un attacco devi prima capire che cos’è il phishing e come funziona. Si tratta di una truffa telematica che inganna la vittima convincendola a condividere dati sensibili come password, numeri di carte di credito e conti bancari. I modi per indurre il malcapitato ad “abboccare all’amo” (come suggerisce il termine inglese “phishing”, ovvero “pescare”) sono diversi, quello più comune è l’invio di una email o un SMS con diverse esche disseminate al suo interno. Il mittente di solito imita alla perfezione una persona di fiducia della vittima (amici, parenti, colleghi), un’organizzazione finanziaria (istituti di credito, banche, società emittenti carte di credito) o un sito web familiare (ecommerce, web email, etc.).
Il contenuto del messaggio è spesso un testo che avvisa l’utente di qualche problema di sicurezza e che, apparentemente per rassicurarlo, lo invita a compiere delle azioni come: aprire allegati, inserire credenziali o cliccare su un link che rimanda a una pagina in tutto e per tutto identica a quella del proprio istituto di credito o del servizio a cui ci si è registrati in precedenza. Una volta caduti nella trappola e condivisi i dati, questi finiranno nelle mani dei criminali che li potranno usare per rubare l’identità, vendere informazioni sensibili sul mercato nero, appropriarsi di conti bancari e sottrarre denaro.
Non solo: entrare su un sito completamente falso può compromettere il dispositivo usato, infettandolo con virus, trojan* o malware*. Lo stesso potrebbe succedere se il destinatario dovesse aprire l’allegato all’email: false fatture, multe o avvisi di consegna pacchi che hanno l’aspetto di un normale file in doc o pdf. Una volta aperti i file diffonderanno i virus nascosti al loro interno.
Attacchi di phishing: ad ognuno il suo
Gli attacchi di phishing non sono tutti uguali, ne esistono di diversi tipi e ciascuno utilizza una tattica specifica.
- Spear phishing. È un attacco mirato e basato sull’invio di una email a un individuo o un’organizzazione specifica. Per trovarti, il phisher ha fatto delle ricerche approfondite (per scoprire indirizzi email, nomi, titoli e rapporti professionali) e ti invierà un messaggio personalizzato, che ha senso solo per te. Grazie alle indagini preliminari, infatti, gli hacker saranno in grado di creare e inviarti un messaggio di posta elettronica credibile spesso con un tono di urgenza. L’obiettivo è indurti a rivelare informazioni sensibili come nomi utente, numeri di telefono, password e dati bancari. La vittima ideale? Un dipendente con un ruolo chiave all’interno di un’azienda, come ad esempio chi si occupa di autorizzare i pagamenti.
- Vishing (phishing vocale). In questo caso il phishing usa delle classiche telefonate in cui i truffatori si fingono rappresentanti di istituti bancari, società di carte di credito o enti governativi. A questo punto, ti avviseranno di un presunto problema con il conto e ti chiederanno di confermare informazioni sensibili - come codici di sicurezza, password, numeri di conto, data di nascita o numero di previdenza sociale - per risolverlo tempestivamente.
- Whaling. È un tipo di spear phishing che punta su bersagli di alto profilo come dirigenti d’azienda con facile accesso a dati sensibili o risorse finanziarie all'interno dell'organizzazione. Questo li rende obiettivi particolarmente appetitosi.
- Smishing. Agisce come il Vishing, ma attraverso l’invio di SMS che sembrano provenire da fonti affidabili. In realtà si tratta di messaggi di testo contenenti spesso link malevoli che indirizzano a siti web contraffatti o che richiedono la condivisione di informazioni personali, finanziarie o dati sensibili.
Come riconoscere un attacco di phishing? La bella notizia è che ci si può difendere!
Forse non sai che i phisher mirano a conquistare la fiducia della vittima per spingerla a fare qualcosa che altrimenti non farebbe. Riconoscere un attacco di phishing non è semplice, ma è l’unico modo che hai per proteggerti da questo tipo di frode; per farlo puoi provare a prestare attenzione ad alcuni segnali.
- Controlla attentamente il mittente delle email prima di rispondere o cliccare su qualsiasi link o allegato: riconoscere il nome non basta, verifica che l’indirizzo sia corretto e non contenga errori grammaticali, numeri, lettere in più o alterazioni di qualsiasi tipo.
- Attenzione ai messaggi dal tono allarmistico: se rivelano un senso d'urgenza e ti invitano a cliccare su un link o condividere tempestivamente dati personali per evitare la chiusura di un account, quasi sicuramente ti trovi davanti a un caso di phishing. Gli istituti bancari non chiedono mai dati sensibili tramite internet.
- Se nel messaggio ricevuto riconosci allegati ambigui o inconsueti, non aprirli perché potrebbero contenere malware, ransomware o altri tipi di virus.
- Collegamenti ipertestuali sospetti. Controlla molto attentamente l'URL prima di cliccare sul link riportato nell'email e verifica che quello mostrato sia lo stesso indirizzo al quale il link condurrà.
- Linguaggio. Che si tratti di SMS o di email presta attenzione a messaggi che ti spingono ad agire prima di poterne esaminarne attentamente il contenuto:
- Attenzione, il tuo pacco è stato bloccato
- È necessario effettuare un pagamento
- Abbiamo notato alcune attività o tentativi di accesso sospetti
- Tra pochi giorni il tuo account verrà sospeso
- Conferma adesso
- Diffida di sorprese e regali inaspettati: “Hai diritto a un rimborso”, “Hai vinto un iPhone”.
- Controlla che il sito web abbia il certificato https attivo.
- Non condividere mai le tue credenziali per telefono.
Attacco di phishing: cosa fare se sei stato colpito?
Se sfortunatamente dovessi subire un attacco di phishing, la prima cosa da fare è non andare nel panico e denunciare l’accaduto alla Polizia Statale che può aprire un’indagine. È altrettanto importante segnalare quanto successo all’amministratore del portale originale o all’istituto bancario, ente, organizzazione nel caso tu abbia condiviso i tuoi dati su un sito fake, così da poter cambiare le credenziali.
Le banche sono sempre più attente a proteggere i propri clienti da tentativi di phishing o di altre truffe sui conti correnti. Se pensi di essere stato vittima di una truffa online contatta immediatamente la tua banca per ricevere supporto.
LEGENDA
MALWARE: Nella sicurezza informatica indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente di un computer. (fonte: Wikipedia)
TROJAN: È un tipo di malware. Il trojan come il cavallo dell’antica storia greca, si nasconde all’interno di un altro programma apparentemente utile e innocuo: l’utente, eseguendo o installando quest’ultimo programma, attiva inconsapevolmente anche il codice del trojan nascorso. (fonte: Wikipedia)
RANSOMWARE: È un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un “riscatto” da pagare per rimuovere la limitazione. (fonte: Wikipedia)