Su Internet, le frodi si presentano sotto molte forme: dalle sospette “offerte speciali” fino alle royalty di dubbia origine, le truffe sono talmente comuni per gli utenti online che molte sono diventate proprie del folklore del World Wide Web.
Tuttavia, molti criminali informatici sono ancora in agguato online, con la voglia di trarre un proprio tornaconto da ogni combinazione di fiducia, paura o semplicemente ignoranza. Spesso, queste persone riescono nel loro intento non perché penetrano direttamente nella sicurezza del sistema, bensì per il fatto che riescono ad allestire imbrogli spaventosamente comuni.
Uno di questi è il “phishing”: una delle parole più bizzarre che vedrai quando si tratta di sicurezza informatica, anche se ciò che rappresenta è decisamente serio.
Primi Passi nell’Acqua
In poche parole, il phishing fa riferimento a una forma di frode digitale in cui un attacco informatico cerca di spingere subdolamente qualcuno a rivelare informazioni riservate. Le informazioni che gli aggressori informatici cercano, potrebbero essere diverse, ma saranno per lo più credenziali di accesso o delle informazioni finanziarie.
In genere, lo si tenta inviando un’e-mail o un altro messaggio che asserisce di essere qualcuno d’importante, come un impiegato della banca, un tecnico web o forse un cliente di alto profilo. Quel messaggio rappresenta l'”esca”, un gancio digitale per i bersagli a cui questi potrebbero abboccare per poi essere avvinghiati da chi sta mettendo in atto l’attacco.
I risultati del phishing sono terribili, potenzialmente costano alle vittime l’accesso a sistemi, dati riservati o fondi di interi conti finanziari. Non dovrebbe sorprendere che alcuni dei cyber criminali di maggior successo nella storia facciano solitamente uso del phishing, come i gruppi Cozy Bear o Fancy Bear sponsorizzati dalla Russia.
Ci sono diverse forme correlate di attacco informatico alle quali queste entità dannose potrebbero ricorrere:
- Lo Spear Phishing viene messo in atto quando un malintenzionato prende di mira uno specifico individuo (non di rado qualcuno con un’elevata autorizzazione di sicurezza per un sistema online) come un cacciatore che infilza uno specifico pesce.
- Lo Vishing, inventato combinando i termini “voice” (voce) “phishing” (pescare) sta a significare una telefonata in cui il chiamante finge falsamente di essere qualcuno di legittimo.
- Lo Smishing, creato combinando le parole “SMS” e “phishing”, sta a significare messaggi di testo che si spacciano provenienti da fonti ufficiali.
Riconoscere una Truffa
Quindi, esattamente, come puoi difenderti da una di queste truffe?
Per cominciare, la triste verità è che nessuna tecnologia può proteggerti da ogni forma di “-ishing”. Questo per il fatto sono tutti condotti mediante la comunicazione, non tramite un’intrusione nel sistema. In altre parole, poiché tutte queste truffe stanno in effetti bussando alla tua porta, l’unica maniera per sbarrare il loro accesso sarebbe quello di sbarrare anche l’accesso a ogni altro visitatore.
Tenendo questo in mente, la maniera migliore per superare in astuzia questi truffatori è poterli riconoscere. Per fortuna, spesso bastano pochi identificatori per smascherare i messaggi falsi.
1. Prestare Attenzione all’Urgenza
Sebbene ci siano degli hacker che lavorano pazientemente, la maggior parte dei phisher è palesemente impaziente. Spesso, si precipitano a chiedere subito delle informazioni con un tono urgente ed esigente.
Quell’urgenza è per te un monito presentato su un piatto d’argento. Ricorda, un professionista IT oppure un agente finanziario che ha le carte in regola non ti metterebbe mai fretta per farsi dare delle informazioni sensibili, sicuramente non attraverso canali elettronici.
Quando un messaggio ti dice di consegnare le tue informazioni sensibili immediatamente, è altamente probabile che si tratti di una truffa e che il motivo per cui sono così insistenti è che sono dei truffatori in cerca di un rapido guadagno.
2. Se Sembra Troppo Bello per Essere Vero…
Un’offerta inaspettata di contanti? Un fantastico premio per un concorso a cui non hai mai partecipato? Uno sconto sulla bolletta elettrica all’istante? Presunte “offerte speciali” invadono i telefoni cellulari e le caselle di posta elettronica.
Dietro a tutto questo, ovviamente, ci sono truffatori in cerca di un unilaterale ritorno economico.
Come dice il vecchio proverbio, le offerte che sembrano troppo belle per essere vere quasi sempre non lo sono. Pertanto, se ti piove addosso un’opportunità inaspettata attraverso una chiamata, un messaggio o un’e-mail che potrebbe cambiarti la vita, tieni presente che è molto probabile in realtà sia opera di un truffatore.
3. Identità Inquietanti
Qualcosa che i phisher fanno alquanto bene è far sembrare i loro messaggi autentici, a partire dal logo o dall’indirizzo e-mail.
Tuttavia, a un esame più accurato, questi travestimenti di solito si rivelano sottili come un foglio di carta.
Nel caso dell’e-mail, anche quando un truffatore usa un logo ufficiale o un nome commerciale, in genere lascia segni che svelano la sua disonestà. Per esempio, un phisher potrebbe usare un indirizzo come “home.spotify.xyz” quando, invece, un’e-mail effettiva di Spotify userebbe il dominio corretto ossia “spotify.com”.
Ecco qui di seguito un esempio di truffa reale fornita dalla FTC:
Sembra abbastanza autentico, ma se dai un’occhiata più da vicino alla sua prima riga leggi Hi Dear (“Ciao Caro”). Un modo piuttosto strano per iniziare un’e-mail di ripristino dell’account, se si considera che Netflix normalmente userebbe il tuo nome. Incongruenze del genere, per quanto piccole possano apparire, sono fondamentali per distinguere le comunicazioni reali da quelle false.
Per quanto riguarda le telefonate, un segnale lampante è quando un messaggio preregistrato dice che dall’altro capo della cornetta c’è un ente governativo oppure quando chi chiama afferma di rappresentare un’organizzazione finanziaria senza un nome ben definito. Quando tali chiamate scaturiscono dal nulla, è in genere meglio riagganciare oppure far pressione sul chiamante sospetto per accertarsi del tutto.
4. L’Ortografia Può Essere un Segnale Rivelatore
Anche nella nostra epoca in cui è presente la correzione automatica, sono abbastanza comuni gli errori di battitura. L’eccezione, tuttavia, è nelle comunicazioni ufficiali delle aziende, in quanto un messaggio scritto in maniera non professionale si potrebbe riflettere negativamente sulla loro reputazione.
Pertanto, se ricevi un testo oppure un’e-mail da una realtà ben nota (apparentemente) e che è inspiegabilmente piena zeppa di errori di ortografia e di evidenti errori grammaticali, c’è motivo di dubitare della sua autenticità.
Per quanto elitario potrebbe sembrare, si deve leggere con attenzione per vedere se ci sono errori nel testo o altri segnali di scrittura non professionale quando si riceve dal nulla un messaggio stranamente urgente. Questo indica in genere che il mittente è qualcuno senza una reputazione effettiva da proteggere.
5. Evitare il Tasto Antipanico
Uno dei tratti distintivi di una truffa che va a segno è suscitare allarme nelle vittime. Non dovrebbe sorprendere il perché: se una persona è in preda al panico, farà quasi tutto per motivi di sicurezza personale (anche dare le informazioni del proprio account a dei malviventi).
In parole povere, questo sta a significare che se un’e-mail, un messaggio oppure una chiamata sono progettati con precisione per farti assalire dal panico, probabilmente non hanno a cuore i tuoi migliori interessi.
È vero, un avviso sul fatto che il tuo account sia stato violato ha lo scopo di far scattare dei campanelli d’allarme. Ma valuta con attenzione come è stato formulato il messaggio che hai ricevuto: sembra più allarmante di quanto dovrebbe essere? È particolarmente aggressivo? Minaccia serie conseguenze se non fai quello che richiede?
Ognuna di questi aspetti in genere significa che il messaggio non è lì per darti delle informazioni reali, ma per metterti in uno stato di vulnerabilità emotiva… e questo a sua volta è un segnale che il messaggio è probabilmente una truffa.
Essere Preparati è la Migliore Difesa
Sebbene stare al sicuro dal phishing dipenda dalla capacità di discernimento singoli utenti, il lato positivo è che hai già fatto molto per difenderti semplicemente prendendo consapevolezza di queste truffe: sei già un passo avanti rispetto ai piani dei tuoi eventuali truffatori.
L’altra cosa che è bene ricordare però è che, nonostante i suggerimenti in questo articolo per identificare i casi di phishing, i trucchi utilizzati sono costantemente in aggiornamento. I truffatori elaborano regolarmente nuove strategie per ingannare gli inconsapevoli; pertanto, è cosa saggia prestare la massima attenzione agli eventuali nuovi trucchi dei quali i truffatori si stanno al momento avvalendo.
Tutto ciò ora è particolarmente critico, in quanto gli attacchi informatici – in particolare quelli con risorse fornite dal governo russo – continuano a dilagare e persino registrano un incremento. In effetti, i casi in cui gli aggressori informatici collegati alla Russia mettono in atto episodi di phishing stanno a dimostrare come queste truffe possono avere delle conseguenze ben maggiori rispetto al costare del denaro e rovinare la reputazione alla tua azienda: possono reindirizzare le risorse aziendali in sforzi per una guerra reale.
Per te stesso e anche per tutto il mondo, non c’è mai stato un momento più importante per essere consapevoli e proteggere i propri sistemi.
Per ulteriori consigli sulla sicurezza informatica e sulla tecnologia, iscriviti per ricevere gratis il nostro magazine!