Home » Blog » Phishing e spam: occhio alle frodi

Phishing e spam: occhio alle frodi

Il phishing è una delle minacce informatiche più conosciute, ma allo stesso tempo una di quelle in cui continuiamo a cascare troppo spesso. E’ una truffa telematica che ha l’obiettivo di carpire le informazioni ed i vostri dati personali. Deriva dal termine “andare a pescare”, ed è proprio quello che fanno gli hacker quando adottano questa tecnica.
In pratica, un malintenzionato cerca, attraverso una mail, di ingannare la vittima
convincendola a fornire informazioni personali, dati finanziari o codici di accesso
riservati, fingendosi un ente affidabile, una banca, un ente governativo ecc.
Si concretizza in una mail contraffatta in cui si invita il destinatario a fornire dati
riservati, motivando tale richiesta con ragioni di ordine tecnico o conferma dati. Può capitare che il messaggio sembri provenire proprio dalla nostra banca, un attimo di panico, un momento di superficialità e il gioco è fatto, siamo finiti allamati come un povero branzino.
Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS, su social o chat quali, Whatsapp, Instagram, Telegram ecc…
Il canale usato in genere sono gli spam, sono messaggi indesiderati, inviati in
maniera automatica e massiva. Possono anche avere scopi malevoli oltre alla frode informatica.

Lo Spear Fishing

Esiste una metodologia di phishing estremamente pericolosa chiamata
SpearFishing. In pratica a differenza del phishing classico, dove il phisher invia una quantità elevata di email aspettando che qualcuno caschi nella sua trappola, nello Spear Phishing viene inviata una email ad una specifica persona od organizzazione che si è studiata approfonditamente in precedenza. In pratica il phisher studia la vittima e prepara un attacco specifico che naturalmente ha una percentuale di successo più elevata rispetto al phishing classico.
A differenza delle email di phishing nelle quali la comunicazione è generalmente
impersonale, in questo caso si viene chiamati per nome, vengono fatti riferimenti precisi, ad esempio, si fa cenno ad un superiore che ha richiesto di compiere delle operazioni. Proprio per la conoscenza che il phisher ha di noi si tratta di azioni particolarmente efficaci che necessitano di attenzioni che possono essere assunte con l’utilizzo di semplici protocolli o abitudini di sicurezza.
Il Phishing o lo SpearFishing sono a tutti gli effetti una forma di adescamento:
l’hacker inganna l’utente, sfruttando le sue paure, per carpire informazioni come
login e password per accedere alla sua banca on line o documenti di identità e
codice fiscale che poi possono essere utilizzati per compiere una serie di azioni
illegali, senza che l’interessato ne venga a conoscenza… almeno fino alla resa dei
conti.
Ad esempio, il criminale potrebbe avere l’opportunità di usare il vostro nome e
cognome per vendere online della merce inesistente: farsi pagare e poi scomparire, lasciando che siano a vostro carico sia le denunce che il processo per truffa.
E non dimentichiamo un’altra tipologia di attacco chiamata “Cuteit” Immaginate che un “amico” vi invii un bel massaggio o una mail con un link similare
a questi che seguono. Di solito si chiede di controllare o vedere una determinata
cosa.
https://www.facebook.com+settings&tab=privacy@%3192%2E%3168%2E%31%2E%38
https://www.facebook.com+settings&tab=privacy@0300.0250.0001.0010
http://google.com@accounts@%3192%2E%3168%2E%31%2E%38
Non abboccate !
Se seguite il link, andrete su un server che ha (nello specifico) indirizzo 192.168.1.8 (ma potrebbe essere un qualsiasi ip pubblico) sicuramente ci sarà un clone della pagina di autenticazione di Facebook o Google e una volta digitate le vostre credenziali il vostro “amico” le avrà su un piatto d’argento, mentre voi verrete ulteriormente dirottati sul vero Facebook o Google.
Dal quel momento il vostro “amico” o presunto tale avrà pieno accesso alla vostra vita!
Il problema è che di solito non sono gli amici che fanno questi giochetti, ma hacker che impersonano una persona che voi conoscete bene e utilizzano come mezzopreferito la mail!
Come difendersi.
● Un pò di diffidenza non si nega a nessuno
La prima regola è “essere diffidenti!” Anche se il mittente della email potrebbe
sembrare attendibile non è detto che lo sia. Non seguite link strani, basta un
secondo di disattenzione e la frittata è fatta!
Non scaricare mai allegati anche semplicemente file word, perché potrebbero
contenere malware. Chiedetevi sempre se la email ricevuta ha un senso, se
conoscete il mittente, se ha qualcosa di strano come destinatari multipli a voi
sconosciuti.
● Come parli Bene
Occhio alle email sgrammaticate, o che presentano errori ortografici, molto
spesso sono state fatte da traduttori automatici. Sono uno dei segni
caratteristici di questo tipo di minaccia.
● Chi Ti conosce
Passando con il mouse sopra eventuali link controllate che il sito di
destinazione sia effettivamente quello fidato.
Diffidate di email provenienti da enti governativi che vi richiedono di scaricare i
file allegati.
● Io non pago
Non pagare riscatti in criptovaluta a fantomatici personaggi che dicono di
avere vostre informazioni compromettenti.
Gli utenti spesso non sono in grado di riconoscere una email di PHISHING