Che cos’è il phishing? Ecco cosa dovresti sapere sulla tecnica della truffa virtuale e su come proteggerti dal furto di dati. Gli stratagemmi e gli attacchi di phishing possono capitare a chiunque disponga di un account di posta elettronica.
Il phishing è una forma di crimine informatico in cui si riceve un’e-mail da un falso mittente che finge di essere qualcun altro. L’obiettivo delle e-mail di phishing è in genere quello di rubarti informazioni personali o sensibili.
Il phishing è facile da capire se tieni d’occhio errori di ortografia e grammatica, indirizzi e-mail che non corrispondono al presunto mittente e richieste di informazioni che non dovresti fornire tramite e-mail.
Non dovresti mai rispondere a un’e-mail di phishing, ma, eliminare velocemente il messaggio o seguire la politica della tua azienda.
Il phishing è un crimine informatico in cui i criminali si mascherano da qualcun altro, come un’attività legittima, per indurre le vittime a fornire volontariamente informazioni personali e sensibili.
Un tipo comune di email di phishing è quando ricevi un messaggio nella tua casella di posta che sembra provenire dalla tua banca. Come parte di un presunto controllo di sicurezza, il messaggio richiede che tu risponda con le tue informazioni di accesso. Ciò può includere informazioni come nome utente e password.
Se rispondi a questa email con le informazioni richieste, potresti aver appena concesso ai criminali l’accesso illimitato al tuo conto bancario.
Che cos’è il phishing?
Il termine “phishing” è una variazione della parola “fishing”. Vuole simboleggiare che nella maggior parte dei casi i criminali informatici lanciano un’ampia rete, attaccando un vasto numero di utenti contemporaneamente, sperando che alcuni abbocchino.
Esistono diverse varianti comuni dell’attacco di phishing di base. Un attacco di “spear phishing”, ad esempio, è più mirato. In alcuni casi, lo spear-phishing prende di mira utenti noti clienti di una banca, un sito Web o un servizio online specifico.
I criminali che conducono un attacco di phishing generico potrebbero non sapere nulla di te, motivo per cui potresti ricevere occasionalmente un’e-mail che ti chiede di reimpostare la password per una banca o un servizio online che non usi nemmeno. Ma nello spear phishing, i criminali potrebbero aver violato un elenco di utenti di un sito Web comune e inviato un’e-mail a quegli utenti chiedendo loro di fornire informazioni sensibili.
Allo stesso modo, lo spear phishing può essere mirato a individui specifici, con e-mail personalizzate che sembrano provenire da colleghi, clienti o fornitori per convincerti a rinunciare a password, credenziali dell’account o altre informazioni sensibili.
Potresti anche vedere altri termini relativi al phishing, come smishing (phishing che utilizza messaggi di testo SMS) e vishing (phishing che si basa almeno in parte su chiamate vocali). Hanno tutti lo stesso obiettivo: persuaderti che la comunicazione è una richiesta di routine di informazioni sensibili.
Strategie di phishing comuni
Ci sono innumerevoli attacchi di phishing comuni. I criminali provano sempre nuove varianti, quindi non esiste un’unica lista ristretta di stratagemmi di phishing a cui prestare attenzione. Anche così, questi sono i tipi di e-mail di phishing che vedrai comunemente.
Vincere una lotteria o lotterie
Riceverai un’e-mail che ti informa che hai vinto un grosso premio in denaro, solitamente sotto forma di lotterie. Se rispondi, scoprirai spesso che devi fornire i dati del tuo conto bancario per ricevere i soldi.
Aiuta qualcuno a dispensare una grossa taglia di denaro
Questa è la classica truffa del “principe nigeriano”, e ci sono mille varianti in circolazione oggi. La premessa: qualcuno ha una grossa somma di denaro che condividerà con te se puoi aiutarla a trasferirla negli Stati Uniti o a darla in beneficenza. Non ci sono soldi, ma i criminali prenderanno i tuoi soldi se fornisci loro le informazioni richieste.
Controllo di sicurezza dalla parte della tua banca
Riceverai un’e-mail che si presume provenga dalla tua banca in cui ti viene richiesto di rispondere con i tuoi dati di accesso, numero di conto, password o altre informazioni sensibili.
È necessario controllare un addebito o una spedizione o reimpostare la password
In molti casi, non ti verrà chiesto di rispondere con le informazioni del tuo account. Potrebbe invece essere necessario fare clic su un collegamento nell’e-mail per aprire il sito Web in questione, dove è necessario accedere e controllare qualcosa.
La truffa qui è che il collegamento ti porta a un clone illegittimo del sito web. Se inserisci le tue credenziali, i criminali hanno avuto da te le informazioni che desideravano.
Come rilevare un attacco di phishing
Con un po’ di diligenza, è facile rilevare ed evitare praticamente tutti gli attacchi di phishing. La maggior parte delle e-mail di phishing sono relativamente poco sofisticate, mirate a intrappolare utenti ingenui che sono nuovi su Internet o che non sono consapevoli del rischio di attacchi di phishing, o semplicemente persone molto impegnate che non esaminano attentamente tutte le loro e-mail. Ecco le principali cose da cercare.
Ortografia e grammatica scadenti
Potrebbe sembrare ovvio, ma è il modo numero uno per individuare le email illegittime. Molte e-mail di phishing sono create da persone che non parlano inglese, a cui mancano le sfumature della grammatica inglese, nel nostro caso di italiano. Se un’e-mail afferma di provenire da una delle principali banche o rivenditori e include errori evidenti, fai attenzione.
L’indirizzo email non corrisponde al nome
Se la tua email afferma di provenire da Netflix, ma l’indirizzo email effettivo non termina con “Netflix.com”, è quasi certamente un attacco di phishing. Guarda nella riga “Da” del client di posta elettronica. Dovrebbe dire “Netflix<info@mailer.netflix.com>,” non Netflix gdgeert@criminal_organization.remailer.com>.</info@mailer.netflix.com>
Assicurati che il collegamento vada dove sostiene, senza fare clic su di esso
Se ti stai preparando a fare clic su un collegamento in un’e-mail, tieni presente che il collegamento potrebbe portarti da qualche parte in modo diverso da quanto implica il testo nel collegamento. Passa il mouse sul collegamento senza fare clic e guarda dove sta andando. Se il dominio è diverso da quello che ti aspetti, probabilmente ti sta portando a un sito illegittimo.
Un consiglio ancora migliore: evita di fare clic sui collegamenti nelle e-mail. Se la tua banca ti invia un’e-mail affermando che hai un messaggio importante in attesa, apri un browser Web e naviga lì da solo. In questo modo, puoi tranquillamente scoprire se il messaggio è reale.
Diffida di qualsiasi richiesta di informazioni sensibili
Banche e rivenditori non ti chiederanno mai la tua password o altre informazioni personali via e-mail. Se ricevi un’email che sembra strana, probabilmente è strana.
Cosa dovresti fare in caso di attacco di phishing
In generale, niente. Non rispondere mai a un’e-mail di phishing, mai. La risposta consente al mittente di sapere che ha raggiunto una persona reale, rendendoti particolarmente vulnerabile a ulteriori attacchi. Se ricevi un’e-mail di phishing, contrassegnala come spam, in modo che il tuo programma di posta elettronica sappia che non è legittimo. Oppure invialo nella cartella del cestino.
Tuttavia, se ricevi e-mail di phishing al lavoro utilizzando l’e-mail aziendale, devi seguire le procedure stabilite dal reparto IT della tua azienda. Di solito, l’IT vorrà che tu inoltri queste e-mail a un indirizzo e-mail specifico. Ciò può aiutare l’azienda a filtrare questi messaggi in modo più efficace ed evitare che altri dipendenti siano vittime di un attacco.