Phishing, 1 attacco su 10 ha successo: utenti poco informati e frettolosi. Qualche rapido e chiaro consiglio su come difendersi. Infografiche gratuite
Il dato non è certo confortante. Secondo una indagine condotta da Intel e McAfee, solo il 4% dei 25mila intervistati conosce il fenomeno del phishing e sa, dunque, come difendersi e come evitare di esserne vittima. la Fusaro Group vi offre un quadro completo sul phising, con alcuni interessanti approfondimenti sulle semplici, ma efficaci misure da attuare in caso di attacco.
È tentativo di truffa, realizzato attraverso la posta elettronica, per rubare informazioni e dati personali. I mittenti delle email di phishing sono (o meglio, sembrano essere) organizzazioni conosciute, come banche o portali di servizi web, e hanno apparentemente uno scopo informativo: avvisano di problemi riscontrati con account personali dell’utente (home banking, portali di aste online, provider di posta elettronica, social network e altro) e forniscono suggerimenti su come risolvere le problematiche.
In molti casi, invitano o suggeriscono di cliccare su qualche link per fornire informazioni e dati personali e ripristinare l’account e/o metterlo al sicuro. Ricorda che, fornite le informazioni richieste, sei già caduto nella rete dell’hacker-pescatore.
Un attacco phisingdi solito si articola in 4 fasi.
Invio di falsi messaggi
Sfruttando una botnet, l’hacker invia decine di migliaia di email che simulano comunicazioni da parte di un istituto bancario, di un provider web, di un sito di aste online o di qualsiasi altra istituzione nota all’utente.
Ricezione del messaggio
Il messaggio ricevuto avverte l’utente che è stato riscontrato un problema di sicurezza e che deve controllare il suo account, cliccando su un link presente nel testo dell’email stessa.
Accesso al sito fasullo
Il link su cui si clicca rimanda a un sito fittizio, ospitato su di un server controllato dal phisher, che riproduce perfettamente le sembianze del portale istituzionale dell’istituto bancario o del portale di aste online.
Ricezione delle credenziali
Effettuato il login sul sito-copia, i dati dell’utente sono archiviati nel database del server di chi ha condotto l’attacco, che potrà disporne a proprio piacimento. Può accadere, inoltre, che visitando il portale fasullo, il tuo pc o smatphone sia infettato da trojanhorse e malware di vario tipo: in questo modo, il tuo computer o cellulare sarà una delle macchine della botnet utilizzata per condurre l’attacco ad altri utenti.
Per riconoscere un attacco phishing è necessario prestare molta attenzione ai messaggi di posta che si ricevono e una buona dose d’intuito. Di solito, presentano messaggi allarmanti (del genere «Verifica il tuo account» oppure «Se non rispondi il tuo account sarà chiuso in 48 ore»), invitano a inserire informazioni personali e credenziali web in portali esterni e, soprattutto, sono scritti in un italiano poco corretto. I messaggi di phishing, infatti, sono scritti in inglese e tradotti con strumenti web: raramente la forma del testo sarà corretta e ciò dovrebbe far risuonare nella testa dell’internauta un vero e proprio campanello d’allarme.
Inoltre, ti consigliamo, in caso di “messaggi allarmanti”, di contattare direttamente la banca o l’istituto finanziario di fiducia per domandare e informati sull’eventuale contenuto dell’email ricevuta.