Phishing e come proteggersi
Sicurezza

Oct 12, 2022 • 7 min read

1 commenti

Cos'è il Phishing e come proteggersi

Indice

Con il rapido sviluppo della tecnologia, la complessità degli attacchi di phishing migliora. Più le persone diventano tecnologicamente avanzate, più avanzati saranno gli attacchi di phishing. Inoltre, ora che tutti trascorrono più tempo online, è aumentato anche il numero di attacchi in generale. Ecco la nostra breve guida su cosa fare per rimanere al sicuro dagli attacchi di phishing.

Cos’è il phishing?

Nato intorno al 1995, appena 4 anni dopo la comparsa del primo sito web, il phishing consiste nell’utilizzo di email e siti ingannevoli per ottenere illegalmente informazioni personali e aziendali dagli utenti. Tali informazioni – nomi utente, password, carte di credito – vengono successivamente utilizzate per rubare denaro o ulteriori informazioni.

La stessa parola “phishing” è una combinazione di “fishing” (pesca) e “phreaks”, il modo in cui gli hacker definivano se stessi. La pratica del phishing è considerata una forma di ingegneria sociale, ossia un metodo per manipolare le persone presentandosi falsamente nel contesto della sicurezza web.

Tipologie di phishing

Spear-phishing

Cos’è lo spear phishing? Lo spear phishing prende di mira una persona o un’organizzazione specifica piuttosto che utenti casuali. Questa truffa di solito mira a rubare dati o informazioni sensibili dalla vittima specifica, come password dell’account o informazioni finanziarie. Richiede una conoscenza specifica della vittima come alcuni dati personali. Gli hacker utilizzano queste informazioni (di solito in un’email) per fingere di essere un’azienda o una persona affidabile e acquisire i dati di cui hanno bisogno.

Spear phishing vs phishing

Entrambi sono attacchi che intendono rubare informazioni sensibili. Tuttavia “phishing” è il termine più generico per questo tipo di attacco, poiché si tratta fondamentalmente di qualsiasi tentativo di indurre le vittime a condividere dati sensibili.

Secondo la definizione, lo spear phishing è personalizzato verso una vittima specifica. Richiede più lavoro, tempo e informazioni per raggiungere il suo obiettivo ma, poiché i messaggi di spear phishing sono personalizzati, è più difficile identificare questi tipi di attacchi.

Il miglior modo per proteggersi dallo spear phishing è generalmente fare attenzione a come ci si muove online. Ecco alcuni suggerimenti da seguire per evitare lo spear phishing:

  • Fai attenzione a quali informazioni personali pubblichi su internet
  • Usa password complesse
  • Aggiorna regolarmente il tuo software
  • Fai attenzione quando apri le email e clicchi sui link

Phishing su Microsoft 365

Questi tipi di attacchi sono email di phishing che prendono di mira gli utenti di Microsoft 365. Una delle cose più comuni che gli aggressori di solito fanno è indurre le vittime a scaricare un file mascherandone l’estensione. Gli hacker usano uno speciale carattere Unicode, ossia l’override da destra a sinistra. Consente loro, ad esempio, di mascherare un file “.exe” in un file “.txt”. Di conseguenza, la vittima scarica il file “.exe” che immediatamente installa il software dannoso sul suo computer.

Whaling Phishing

Il whaling phishing “caccia alla balena” è un attacco altamente mirato. Questo tipo di attacco di phishing prende di mira individui particolari, come i dirigenti d’azienda. Tenta di incoraggiare le vittime a compiere un’azione particolare, solitamente correlata al trasferimento di denaro o alla divulgazione di informazioni specifiche. Le email di whaling phishing spesso prendono di mira grandi istituzioni finanziarie e sono più complicate delle email di phishing standard perché prendono di mira i dirigenti.

Queste e-mail di solito contengono informazioni personalizzate sull’azienda o sul dirigente, creano un senso di urgenza, rispettano il tono aziendale e incoraggiano a eseguire alcune delle seguenti operazioni:

  • Cliccare su un link che porta un malware
  • Trasferire denaro sul conto bancario dell’hacker
  • Fornire informazioni sull’azienda o sulla persona

Phishing vocale

Il phishing vocale è un attacco che induce gli individui a fornire importanti informazioni finanziarie o personali tramite telefono. Puoi diventare vittima di un attacco di phishing vocale su vari canali e dispositivi, come smartphone, telefono fisso, VoIP, etc.

Il messaggio di un tale attacco di solito informa la vittima di un’attività sospetta, correlata al suo conto bancario/carta di credito. Quindi l’hacker incoraggia la vittima a chiamare un numero di telefono e fornire informazioni personali o verificare il proprio account/identità .

Per proteggersi da un simile attacco, l’approccio migliore è chiamare l’istituto in questione tramite un canale di contatto valido di cui si è in possesso e assicurarsi che il proprio account non sia stato compromesso.

Compromissione dell’email aziendale

La compromissione dell’email aziendale è un messaggio email che sembra normale, richiede un’azione particolare e prende di mira un’azienda specifica. La richiesta nel messaggio riguarda solitamente il trasferimento di fondi sul conto bancario dell’hacker che:

  • Si finge il “fornitore abituale” che ha inviato una fattura da un nuovo indirizzo email
  • Si finge l’amministratore delegato dell’azienda
  • Si finge un dipendente dell’azienda
  • Si finge l’avvocato della società

Phishing sui social

Il phishing sui social media è correlato agli attacchi tramite social media come Facebook, Instagram, Twitter, LinkedIn, etc. Mira a rubare le tue informazioni personali o a prendere il controllo del tuo account social. Un tale attacco può anche comportare perdite finanziarie dovute all’ottenimento di dati per l’accesso ai conti finanziari. Per proteggerti da un attacco di phishing sui social media, segui queste semplici regole:

  • Non aggiungere/accettare estranei come amici
  • Non cliccare su link per aggiornare le tue informazioni personali
  • Non utilizzare lo stesso nome utente e password per tutti i tuoi account
  • Usa l’ultima versione del tuo sistema operativo

Come proteggersi dal phishing?

Poiché il phishing può davvero costarti molto, da prelievi illeciti a violazioni dei dati personali, è necessario prendere le dovute precauzioni di sicurezza. Abbiamo messo insieme un elenco delle cose che devi tenere a mente per rimanere al sicuro.

1. Presta attenzione al mittente e all’URL nelle email

Una delle truffe di phishing più comuni è quella di imitare un grande brand. Di solito viene inviata una email a nome del brand  in cui si dice che qualcosa che non va nel tuo account e, per questo, ti chiede di accedere “per risolvere il problema”. Di solito, l’aspetto dell’email è molto simile a quelle originali inviate dal brand ufficiale, tuttavia esiste un modo sicuro per distinguere il vero dal falso.

Devi controllare l’indirizzo email: i truffatori non possono creare indirizzi email con l’effettivo nome di dominio dell’azienda, quindi al posto di supporto@nomedelbrand.com, vedrai nomedelbrand@qualcosa.com. Guarda attentamente l’indirizzo email e non solo il nome che appare nel tuo client di posta elettronica!

Dovresti anche controllare gli URL prima di cliccare. Questo può essere fatto semplicemente passando il cursore sull’URL fornito nell’email. Così facendo, verrà rivelato il dominio a cui punta, in modo da poter vedere a che indirizzo questa email vuole davvero portarti. Se non è il dominio ufficiale del brand, non cliccare sul link.

2. Evita di scaricare allegati che non stai aspettando

A volte le email di truffa sono mascherate da email commerciali, senza dover fingere di provenire una grande azienda. Con la mail, viene semplicemente inviato un allegato contenente un malware. L’email è spesso strutturata come un’offerta commerciale contenente file con tue informazioni riservate.

Se non conosci il mittente, non aprire alcun allegato. Se conosci il mittente, ma non ti aspetti nulla esso, o c’è qualcosa di sospetto, è meglio essere cauti. Chiama il mittente e chiedi se intendeva inviarti qualcosa, poiché a volte i truffatori entrano nelle caselle di posta elettronica delle persone e le usano per attacchi di phishing inviando spam ai loro contatti.

Il formato più comune per gli allegati è lo zip (di solito il .exe non è consentito), tuttavia, anche i file di Microsoft Office possono contenere virus. In generale, tieni d’occhio tutti i tipi di allegati.

Email di accesso inviata!

Iscriviti per
altri fantastici contenuti!

Iscriviti per ricevere la nostra newsletter mensile con gli ultimi contenuti utili e le offerte SiteGround.

Grazie!

Per favore, controlla la tua email per confermare l’iscrizione.

3. Controlla sempre il sito su cui vieni indirizzato

Se ti capita di cliccare su un link di phishing (di solito via email o tramite messaggio), esso ti reindirizzerà quasi certamente a un sito con una form. Lo scopo di questi form spesso è di raccogliere informazioni sensibili: nome utente e password.

Per essere sicuro di trovarti sul sito corretto e, prima di inserire qualsiasi dato, controlla l’indirizzo del sito web nella barra degli indirizzi del browser.

I truffatori possono creare un sito dal design simile a quello del sito originale, ma non possono utilizzare il loro dominio ufficiale o avere il nome del marchio nel dominio (supponendo che il marchio sia registrato). Quindi, spesso, questi domini possono avere nomi simili al brand, ma non saranno mai uguali a quelli originali e avranno simboli, lettere o parole aggiuntivi.

Di solito, i domini truffa sembrano completamente privi di senso e a volte anche il design e il testo sembrano strani, specialmente se si tratta di un marchio noto che vedi di frequente.

Ad esempio, quando accedi a Gmail, Google non ti chiederà mai di selezionare il tuo provider di posta elettronica o di inserire sia la tua email sia la tua password nella stessa schermata. Quindi la struttura che vedrai sui siti di phishing è progettata per assomigliare a quella originale, ma non lo è.

4. Ignora le richieste di denaro

Un altro tipo di truffa online che spesso viene usata è il chiedere denaro “mascherandosi”. Di solito il truffatore si presenta come una persona in difficoltà che chiede aiuto finanziario. Ti viene chiesto di inviare una piccola somma di denaro con la promessa di ottenere molto di più in cambio.

A volte queste truffe possono assumere la forma di estorsione. Popolare negli ultimi anni è stata un’email in cui si affermava che l’utente era stato registrato attraverso le propria webcam a guardare contenuti per adulti. Per questo si chiedevano soldi per non diffondere il contenuto video. Questa truffa ha fatto notizia perché molte persone ci sono cascate, spaventate dagli effetti di questa.

Ad ogni modo, se ricevi una richiesta di denaro in qualsiasi forma da parte di estranei, di solito è una truffa. Non distribuire mai denaro o informazioni finanziarie, indipendentemente dalla situazione che ti viene presentata.

Cosa devi fare se ricevi un’email di phishing?

Ogni volta che ricevi un’email, devi prestare molta attenzione all’indirizzo email, all’URL, all’ortografia, etc. Dopo averli verificati e aver identificato che l’email è in realtà un’email di phishing, devi seguire tutti i passaggi seguenti:

  • Non cliccare su alcun link, non aprire alcun allegato e non rispondere
  • Contatta il presunto mittente tramite il canale ufficiale per la comunicazione
  • Segnala l’email alla tua azienda, al provider di posta elettronica, all’ente governativo e all’organizzazione che avrebbe inviato l’email
  • Contrassegna il mittente come posta indesiderata o spam
  • Elimina l’email e rimuovila anche dal cestino

Come segnalare le email di phishing?

Come accennato in precedenza, è necessario segnalare l’email di phishing a più persone/istituzioni. Qui ti mostreremo come segnalare l’email sia al provider di posta elettronica che all’ente governativo.

Come segnalare email di phishing al tuo provider di posta elettronica

Prendiamo come esempio gli account Gmail. Accanto all’opzione “Rispondi” in Gmail, clicca sull’opzione “Altro” e seleziona “Segnala phishing”.

Se sei un utente di Outlook, devi selezionare il messaggio di posta elettronica di phishing dall’elenco dei messaggi e, sopra il riquadro di lettura, selezionare Posta indesiderata > Phishing > Segnalazione.

Altri provider di posta elettronica hanno opzioni simili di facile utilizzo per la segnalazione di email di phishing.

Come segnalare email di phishing a un istituto specifico

La Polizia Postale offre un portale apposito con un form da compilare per segnalare casi sospetti di phishing nel caso tu abbia o meno aperto il suo contenuto o cliccato su link sospetti. È anche importante contattare subito la propria banca nel caso sospetti di aver cliccato o aperto file fraudolenti, in modo che possano subito intervenire per evitare prelievi dai tuoi conti e carte.

Note conclusive

Ora che sai cos’è un attacco di phishing, sei molto più preparato a proteggerti da esso con i nostri consigli. Puoi esplorare ulteriormente il nostro blog per argomenti simili e, per esempio, scoprire come proteggere la tua reputazione proteggendo la tua posta elettronica.

Ricorda, tutto ciò che serve ai truffatori per fare danni seri è semplicemente un indirizzo email. L’uso consapevole di internet è fondamentale per proteggere la tua privacy e il tuo benessere sul web.

Dilyana Kodjamanova

Digital Marketing Specialist

Amante della lettura e sempre desiderosa di immergersi nella scrittura di contenuti tecnici e non.

Commenti ( 1 )

avatar autore

dino brandi

Apr 22, 2020

Ciao Marina, Hai dimenticato di citare e descrivere la classica "Nigeriana" o altro nome pseudo africano, in cui una vedova o un ex dirigente di banca perseguitato politicamente propongono di donare milioni di dollari per fare beneficenza all'estero. Sono veramente anche spiritose ed a volte possono indurre ad approfondire l'argomento, anche solo per curiosità, da parte del ricevente. Un caro saluto, Dino

Rispondi

Inizia la discussione

Aggiungi un commento
Sei pronto a iniziare?