Se oggi hai ricevuto un’altra email in cui ti si afferma che hai vinto alla lotteria o che hai ereditato denaro da un parente scomparso da tempo. Forse sembra troppo bello per essere vero. Fai bene a essere sospettoso: probabilmente si tratta di una truffa di phishing. Il phishing si verifica quando i criminali informatici cercano di indurti con l’inganno a fornire informazioni personali o a scaricare malware inviando messaggi fraudolenti che sembrano provenire da un’azienda o un sito Web rispettabile.
Probabilmente hai già sentito parlare di phishing, ma conosci tutti i modi subdoli con cui i truffatori cercano di ingannare le loro vittime? In questo articolo esploreremo le diverse tecniche di phishing utilizzate dai truffatori e forniremo esempi reali in modo da poter individuare ed evitare meglio questi messaggi dannosi.
Cos’è il phishing?
Il phishing è un attacco informatico in cui i truffatori utilizzano e-mail o siti Web dannosi per rubare le tue informazioni personali come password, numeri di conto o numeri di carte di credito. I truffatori si travestono da azienda o sito Web legittimo per indurti a fornire dati sensibili.
Una volta che i truffatori hanno le tue informazioni, possono accedere ai tuoi account, effettuare acquisti a tuo nome o commettere furti di identità. Le truffe di phishing sono diventate sempre più sofisticate, quindi è importante stare in allerta.
I segnali più comuni di un’e-mail o di un messaggio di phishing includono:
- Esortandoti ad agire rapidamente o a fornire informazioni immediatamente
- Scarsa grammatica o errori di ortografia
- Un’offerta, un accordo o una ricompensa incredibile
- L’indirizzo del mittente che non corrisponde al nome dell’azienda
Le aziende legittime non chiederanno mai dati sensibili via e-mail. Se qualcosa suona strano, è meglio cancellare il messaggio.
Alcune tecniche di phishing ben note includono:
- Spear-phishing: Attacco mirato rivolto a una persona o azienda specifica. I truffatori utilizzano le informazioni personali per guadagnare fiducia.
- Caccia alla balena: Spear phishing rivolto a dirigenti di alto livello o “pesci grossi”. I truffatori si fingono colleghi o clienti per rubare dati o fondi aziendali.
- Smishing: Phishing tramite SMS anziché e-mail. Sembra che i messaggi provengano da banche, corrieri o società di consegna per ottenere numeri di conto o password monouso.
- Vising: Phishing telefonico. I truffatori si spacciano per supporto tecnico, rappresentanti bancari o agenzie governative per indurre le persone a fornire l’accesso al conto o a trasferire fondi.
Tecniche comuni di phishing e vettori di attacco
I phisher utilizzano tecniche intelligenti per indurti a fornire loro le tue informazioni personali. Fai attenzione a questi comuni vettori di attacchi di phishing:
1. E-mail
La tattica di phishing più comune sono le e-mail fraudolente che fingono di provenire da un’azienda legittima. Queste e-mail spesso segnalano la presenza di un problema con il tuo account o con le informazioni di pagamento per chiederti di fare clic su un collegamento o scaricare un allegato. Non fare mai clic su collegamenti né scaricare allegati da e-mail non richieste.
2. Messaggi di testo
I messaggi di phishing, o “smishing”, affermano che c’è un problema con una consegna o con il tuo conto bancario per indurti a fare clic su un collegamento o chiamare un numero. Come le e-mail, non fare mai clic su collegamenti o chiamare numeri da testi non richiesti.
3. Telefonate
“Vishing” utilizza le telefonate di truffatori che si spacciano per rappresentanti della tua banca, emittente di carte di credito o fornitori di tecnologia. Potrebbero affermare che è in corso un’attività fraudolenta sul tuo account o che il tuo account è stato compromesso per indurti con l’inganno a fornire loro i tuoi dati o l’accesso all’account. Non fornire mai dati sensibili o accesso all’account telefonicamente a chiamanti non richiesti.
4. Siti Web dannosi
I siti di phishing sono siti Web fraudolenti creati per imitare siti legittimi e rubare i dettagli di accesso o le informazioni dell’account. Ricontrolla l’URL per assicurarti che sia il sito web corretto e che utilizzi una connessione HTTPS sicura prima di inserire dati sensibili.
5. Reti Wi-Fi pubbliche
Le reti pubbliche sono un luogo privilegiato per gli attacchi “man-in-the-middle” in cui i phisher curiosano nel traffico di rete per rubare i tuoi dati. Non svolgere mai operazioni bancarie, acquisti o altre attività che richiedono informazioni personali su reti Wi-Fi pubbliche.
Esempi di truffe di phishing reali
Le truffe di phishing sono disponibili in tutte le forme e dimensioni, ma ecco alcuni esempi comuni nel mondo reale a cui prestare attenzione:
1. E-mail da un “principe nigeriano”
Questa è una classica truffa in cui ricevi un’e-mail in cui ti viene affermato che un principe nigeriano o un altro funzionario ha bisogno di aiuto per accedere alla sua fortuna e lo condividerà con te se fornisci denaro o accesso al conto. Elimina immediatamente queste email.
2. “Hai vinto un premio!”
Ricevi un messaggio emozionante che ti informa che hai vinto un concorso o una lotteria a cui non hai mai partecipato. Per richiedere il tuo premio, devi solo pagare le tasse o le commissioni in anticipo. Non cascarci: i concorsi a premi legittimi non ti chiedono di pagare per ricevere le vincite.
3. Fattura o fattura falsa
Ricevi un’e-mail con una fattura o fattura per un prodotto o servizio che non hai mai acquistato. I truffatori sperano che tu lo pagherai senza verificare. Ricontrolla con la società che presumibilmente ha inviato la fattura prima di inviare denaro.
4. “Il tuo account è stato compromesso”
Ricevi un messaggio urgente che informa che è stato effettuato l’accesso ai tuoi social media, alla posta elettronica o ad un altro account da un dispositivo non riconosciuto. Il messaggio ti chiede di fare clic su un collegamento per verificare la tua identità e proteggere nuovamente il tuo account. Non fare clic: si tratta di una truffa per rubare le tue credenziali di accesso.
5. Offerta di lavoro improvvisa
Ricevi un messaggio che ti offre un lavoro, spesso con un alto stipendio e orari flessibili. Per iniziare, tutto ciò che devi fare è fornire informazioni personali come il tuo numero di previdenza sociale o pagare una tariffa anticipata per materiali o formazione. Questa è una frode: le aziende legittime non assumono persone in questo modo né chiedono dati sensibili immediatamente.
Rimanere vigili e imparare a individuare i segnali di frode può aiutarti a evitare di diventarne una vittima. Ricorda, se qualcosa sembra troppo bello per essere vero, probabilmente lo è. In caso di dubbi, fidati del tuo istinto.
Cos’è il phishing delle balene?
Phishing delle balene prende di mira vittime di alto profilo come celebrità, politici e dirigenti aziendali. Poiché queste “balene” hanno spesso accesso a dati sensibili e ingenti risorse finanziarie, sono obiettivi redditizi per le truffe di phishing.
Gli aggressori raccoglieranno informazioni personali sulla balena da fonti pubbliche per creare un’e-mail di phishing personalizzata. Ad esempio, potrebbero menzionare il membro della famiglia della vittima per nome o fare riferimento a un hobby o a un interesse per apparire più legittimi. Queste e-mail di phishing altamente personalizzate hanno maggiori probabilità di ingannare il destinatario facendogli credere che il messaggio sia autentico.
Alcuni esempi di tecniche di phishing di balene includono:
- E-mail che sembrano provenire dalla banca, dal consulente o dal contabile della vittima che richiedono l’accesso a un conto privato o bonifici bancari.
- E-mail di spear phishing con allegati dannosi o collegamenti personalizzati in base agli interessi del destinatario.
- Furto d’identità di familiari o amici che necessitano di fondi di emergenza o di accesso all’account.
- Prendere di mira account personali o di lavoro con l’obiettivo di impossessarsi di account o installare spyware.
Come identificare ed evitare gli attacchi di phishing?
Gli attacchi di phishing stanno diventando sempre più sofisticati, ma esistono alcuni segnali rivelatori che possono aiutarti a identificarli.
1. Mittente sospetto
Se un’e-mail dichiara di provenire da un’azienda con cui intrattieni rapporti commerciali ma l’indirizzo del mittente sembra strano, è un segnale di allarme. Le aziende legittime non cambiano frequentemente i nomi dei domini di posta elettronica. Diffida dei messaggi provenienti da servizi di posta elettronica gratuiti come Gmail o Yahoo per conto di un’azienda rispettabile. Chiama direttamente l’azienda per verificare.
2. Pressione per agire rapidamente
I phisher vogliono che tu agisca prima di avere il tempo di verificare le affermazioni del messaggio. I messaggi che insistono a fare clic su un collegamento o a scaricare immediatamente un allegato sono probabilmente tentativi di phishing. Le aziende legittime non ti spingono a bypassare le misure di sicurezza.
3. Collegamenti e allegati
Non fare mai clic su collegamenti né scaricare allegati da messaggi non richiesti. Anche se il messaggio sembra autentico, i collegamenti di phishing possono installare malware o rubare le tue informazioni personali. Invece, inserisci manualmente l’URL del sito Web dell’azienda nel browser o esegui una ricerca sul Web per trovare il sito Web ufficiale.
4. Richieste di informazioni personali
Le aziende legittime non richiedono dati sensibili come password, numeri di previdenza sociale o numeri di conto bancario tramite e-mail. Se un messaggio richiede questo tipo di informazioni, è probabile che si tratti di una truffa di phishing.
5. Errori di ortografia e grammatica
Anche se non sempre è così, le e-mail di phishing spesso contengono errori di ortografia, grammatica e punteggiatura. Le aziende rispettabili di solito dispongono di copywriter ed editor professionisti per creare comunicazioni prive di errori. Una scarsa qualità di scrittura può indicare un tentativo di phishing amatoriale.
Proteggi te stesso e la tua organizzazione dal Whale Phishing
Purtroppo gli attacchi di phishing stanno diventando sempre più sofisticati. Anche se gli individui e le organizzazioni non possono eliminare il rischio, è possibile adottare diverse misure per ridurre la vulnerabilità.
1. Diffidare delle richieste non richieste
Non fornire mai informazioni sensibili in risposta a una telefonata, un’e-mail o un SMS non richiesti. Le aziende legittime non chiederanno password, numeri di previdenza sociale, numeri di carte di credito, ecc. all’improvviso. In caso di dubbi, contatta direttamente l’azienda invece di fare clic sui collegamenti o chiamare i numeri forniti nel messaggio.
2. Rallenta e fai attenzione all’urgenza
I truffatori spesso cercano di creare un senso di urgenza per indurre le persone ad agire rapidamente prima di pensare. Fai un passo indietro e considera oggettivamente la logica della richiesta prima di rispondere o fare clic su qualsiasi cosa. Chiediti se ha senso che l’azienda o la persona chiedano tali informazioni o esigano un’azione immediata.
3. Ricontrolla i collegamenti e l’ortografia
Prima di fare clic, controlla attentamente l’indirizzo email del mittente e gli URL nei messaggi per verificare la presenza di lievi errori di ortografia o altri segni di spoofing. I collegamenti dannosi possono sembrare molto simili a quelli reali. È meglio digitare manualmente gli indirizzi web nel browser invece di fare clic sui collegamenti nelle email non richieste.
4. Utilizza password complesse e autenticazione a due fattori
Assicurati che tutti i tuoi account, in particolare quelli di posta elettronica, bancari e dei social media, abbiano password complesse e univoche. Abilita l’autenticazione a due fattori quando disponibile per aggiungere un ulteriore livello di sicurezza. L’autenticazione a due fattori aiuta a impedire agli aggressori di accedere ai tuoi account anche se ottengono la tua password.
5. Rimani vigile e allenati
I criminali informatici sviluppano continuamente nuove tecniche, quindi gli individui e le organizzazioni devono rimanere aggiornati con le ultime tendenze e best practice di phishing. Fornire una formazione regolare sulla consapevolezza della sicurezza informatica a tutto il personale, in particolare a quelli con accesso a dati o account sensibili. Con l’educazione e la vigilanza, tutti possiamo fare la nostra parte per sventare i phisher.
Conclusione
Ecco fatto: ora sai cosa sono gli attacchi di phishing e come individuarli. Non lasciare che i truffatori ti inducano a fornire informazioni sensibili o a scaricare malware. Rimani vigile, pensa prima di fare clic e fidati del tuo istinto.
Se qualcosa sembra strano in un’e-mail o in un messaggio, probabilmente lo è. Elimina qualsiasi cosa sospetta e sicuramente non inserire mai password, numeri di conto o inviare denaro. Sei troppo intelligente per cadere nelle truffe di phishing e condividendo queste informazioni con amici e familiari puoi aiutare a vaccinare gli altri.