Secondo i maggiori player di Security, l’anno appena passato è stato definito annus horribilis della sicurezza IT in Italia, per la permanenza continua e costante e l’escalation di attacchi. Sconsolante la constatazione sulla qualità degli attacchi, che spesso non sono stati nemmeno particolarmente sofisticati. La maggior parte di questi ha utilizzato con successo tecniche collaudate come il phishing, approfittando dei soliti e ripetuti errori delle vittime. Il phishing viene definito “Truffa informatica perpetrata inviando una e-mail attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari, codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.” Questo tipo di truffa è molto ricorrente negli attacchi informatici ed il suo successo è basato sull’ingenuità e sulla mancanza di conoscenza informatica della vittima.
COME DIFENDERSI DAL PHISHING?
In una parola: informandosi. È di fondamentale importanza e utilità ascoltare suggerimenti da persone più esperte in materia e leggere notizie da siti web specifici. Si possono consultare regolarmente i siti web della propria banca, delle grandi società informatiche e dei produttori di antivirus.
Le e-mail di phishing sono inviate a una moltitudine di persone, spesso decine di migliaia, per colpire però solo una piccola parte di essa. I soggetti maggiormente colpiti infatti sono quelli più carenti di conoscenza informatica, perciò è bene essere informati su alcune cose che esamineremo di seguito.
RICONOSCERE LE E-MAIL DI PHISHING: CONTROLLARE IL MITTENTE
Se conosciamo il mittente di una e-mail il rischio che si tratti di una truffa diminuisce. Se il mittente è invece un soggetto per noi nuovo, che non ci ha mai scritto, è bene interrogarsi sulla possibilità che si tratti di un inganno. Può aiutare domandarsi se uno sconosciuto, nel “mondo reale”, si fermerebbe per strada a chiederci simili informazioni. E se la nostra reazione sarebbe quella di fornirgliele.
Non di rado questo genere di e-mail proviene da un mittente istituzionale come Banca, Procura della Repubblica, Polizia Postale, Guardia di Finanze, Equitalia e altre ancora,
In questo caso dovremmo valutare se troviamo normale che quel mittente si rivolga a noi in quel modo, con quel lessico e su quel canale.
Conoscenza vuole dire anche cautela e non mutamento delle proprie abitudini, in un contesto nel quale siamo meno a nostro agio e che ci può portare ad abbassare le difese.
ESEGUIRE UN’ANALISI DEL TESTO PER INDIVIDUARE LE E-MAIL DI PHISHING
Se si legge con attenzione il testo dell’e-mail sospetta, si potranno notare eventuali errori che spesso derivano da una cattiva traduzione automatica. Anche un testo estremamente generico pensato per utilizzarlo con tutti e non riferito in modo chiaro solo a noi può essere un campanello d’allarme.
Se il messaggio è troncato alla fine e privo di frasi di chiusura e non riporta il riferimento ad uno specifico referente da poter contattare bisogna fare attenzione.
In molti casi il testo del messaggio cerca di inculcare ansia al lettore, per spingerlo ad agire senza ragionare.
Talvolta il messaggio ingannevole viene appositamente “confezionato” per il destinatario riportando riferimenti alle sue abitudini. L’attaccante, servendosi di tecniche di Social Engineering, potrebbe aver raccolto informazioni su di noi o sulla nostra azienda per rendere il messaggio più credibile.
Ma come è possibile che terzi siano a conoscenza di queste informazioni? In molti casi siamo noi stessi a darle, spesso senza accorgercene, fornendo tramite i canali social (anche professionali) informazioni che appartengono alla nostra sfera privata!
DIFFIDARE DEI LINK E DELLE RICHIESTE DI CREDENZIALI VIA E-MAIL
Un’azione tipica delle campagne di phishing è quella di convincere il malcapitato a rivelare le sue credenziali. Per credenziali, in questo caso, s’intende qualsiasi codice che permetta di accedere ad un servizio o account, ad esempio:
- nome utente,
- password,
- PIN,
- codice sicurezza.
Nell’odierna Società Informatica, è rarissimo che un soggetto domandi una verifica o una comunicazione delle credenziali via e-mail. La stessa attenzione è necessaria per la richiesta di dati bancari, home banking o codici di carta di credito. PayPal, Visa, PostePay e MasterCard, come tante altre società emittenti di carta di credito, sono molto usate per ingannare. Le credenziali non vanno mai comunicate, non vanno inserite in moduli o form, neppure se viene detto che la connessione è sicura (lucchetto in alto nel browser).
I link sono usati per convincere l’utente a cliccare su un collegamento che porta a un sito che può essere un fake o contenere del malware. Evitare di cliccare dei link a meno che il collegamento non sia conosciuto o atteso.
IL PHISHING VIA E-MAIL E GLI ALLEGATI
Anche gli allegati, come i link, possono contenere software nocivi, script per sfruttare delle vulnerabilità e malware di vario genere. Prima di aprire o eseguire il download di un allegato è opportuno domandarsi se lo si sta aspettando. Del resto, se i sospetti fossero infondati, il mittente dell’allegato ci solleciterà la risposta.
Bisogna fare attenzione anche nella nostra comfort zone, ovvero nell’ambito dei messaggi provenienti da mittenti conosciuti o canali quali la PEC, considerati di default sicuri. Il mittente può essere falsato, perciò una mail proveniente da un nostro conoscente può non essere realmente sua e contenere allegati fraudolenti. Tutto ciò può avvenire anche nel cosiddetto “canale sicuro” della PEC.
PROTEZIONI ANTIVIRUS E SISTEMI ANTI-PHISHING
Esistono strumenti informatici studiati per implementare un sistema efficace per una navigazione sicura unitamente ad una protezione anti-phishing. L’obiettivo di tali strumenti è quello di proteggere il computer dai siti web che presentano vulnerabilità in termini di sicurezza. In tal modo si impedisce il trasferimento di un codice dannoso sul pc nonché i tentativi di phishing.
Adottare questi strumenti è altamente raccomandato per la sicurezza del proprio lavoro e dei propri dati.
