Phishing: che cos’è? Diffidare di messaggi ed e-mail falsi!

Probabilmente hai già sentito parlare di phishing. Quasi costantemente, aziende, agenzie di stampa e altre organizzazioni cercano di metterlo in guardia. Ma cos’è esattamente il phishing? Questo articolo ti parlerà di questa forma di criminalità informatica. Parleremo di cosa è, come riconoscerlo e come proteggersi da esso. Ti mostreremo anche cosa fare se sei vittima di un tentativo di phishing.


Che cos’è il phishing?

Phishing Fishhook con password

Il phishing è un tipo di crimine informatico che ha vittime inconsapevolmente che danno ai criminali l’accesso alle loro informazioni personali o al loro account. Di solito, ciò accade a causa di un’e-mail di phishing inviata alla vittima. Questa e-mail sembra provenire da un’organizzazione o un’azienda ufficiale, ma in realtà è stata inviata da un criminale. Questi criminali faranno di tutto per far sembrare le loro e-mail il più autentiche possibile. Ad esempio, useranno loghi di siti Web e aziende ufficiali. In tali e-mail, alle vittime viene spesso chiesto di fare clic su un collegamento o aprire un allegato.

Se fai clic su un link in un’e-mail di phishing, potresti trovarti in una pagina che assomiglia a un sito Web ufficiale, ma è solo una copia falsa. Il criminale spera che tu inserisca i tuoi dati personali e le informazioni sensibili in questa pagina compilando, ad esempio, una schermata di accesso. Una volta fatto questo, il criminale avrà accesso a queste informazioni. Anche l’apertura di un allegato in un messaggio di phishing potrebbe causare molti problemi. Potresti installare inconsapevolmente malware sul tuo computer, come virus o spyware. Questo a sua volta può comportare che il criminale ottenga tutti i tipi di informazioni personali su di te, come i dettagli bancari. A volte installano persino robot per creare una Botnet ed eseguire attacchi DDOS.

L’obiettivo finale di un criminale di phishing è trarre vantaggio dal furto di denaro o dati personali. È da qui che deriva il nome “phishing”. I criminali informatici “pescano” per tua informazione: buttano fuori la loro canna da pesca digitale (l’email) e aspettano che una vittima morda. Usano le paure e le emozioni di un destinatario per far funzionare la loro truffa. Potrebbero, ad esempio, far finta di avere un pagamento non pagato in attesa di te, dicendoti che rischierai una multa se non paghi subito. Le vittime spesso vanno nel panico quando leggono questo e fanno come gli viene chiesto, cadendo per i trucchi del criminale. Non sentirti stupido se ti è successo. Può essere incredibilmente difficile distinguere un messaggio falso dal vero affare.

Diversi tipi di phishing

In generale, l’e-mail è un mezzo molto efficace per i criminali, poiché consente loro di raggiungere migliaia di persone in una volta sola. Trascorrendo il minor tempo possibile, sono in grado di rubare molti soldi, purché una piccola parte dei destinatari cada per la truffa. Tuttavia, non finisce con le email. Ecco alcune altre forme di phishing a cui dovresti prestare attenzione, sia che si tratti di truffe sui social media o tramite posta tradizionale.

Truffe via SMS e WhatsApp

Logo WhatsappI criminali informatici continuano a pensare a nuovi modi per rubare denaro alle loro vittime. Queste tecniche potrebbero essere più efficaci e redditizie, perché le persone semplicemente non lo sanno ancora. Un testo della tua banca potrebbe non essere sempre degno della tua fiducia. Lo stesso vale per un messaggio WhatsApp di un’organizzazione ufficiale, che ti chiede di pagare una fattura di cui non ricordi nulla. Negli ultimi anni, WhatsApp è stato utilizzato sempre più spesso nelle truffe di phishing.

Hai ricevuto un messaggio sospetto? Può essere molto difficile dire se una fattura deve essere effettivamente pagata o è semplicemente un tentativo di rubare i tuoi soldi. La cosa migliore da fare è contattare l’organizzazione che presumibilmente ha inviato il messaggio. Vai al loro sito ufficiale cercando le giuste informazioni di contatto online, senza fare clic su alcun link nel messaggio o utilizzando le informazioni in esso. I criminali di phishing sono spesso abbastanza intelligenti da modificare le informazioni di contatto dell’azienda in modo che siano proprie. Se la società non è a conoscenza del messaggio, assicurati di sapere che qualcuno sta inviando messaggi di phishing a suo nome.

Fatture false

Non solo i social media, ma anche le forme di comunicazione più tradizionali vengono abusate dai criminali informatici. Una delle truffe più comuni, soprattutto per chi ha un’attività in proprio, sono le fatture false. I truffatori inviano una fattura falsa ma dall’aspetto molto reale che ti dice di pagare rapidamente o subire le conseguenze. Ti viene spesso chiesto di inviare i soldi a un conto posteriore specifico. A volte sostengono addirittura che sei in debito e inviano un esattore se non trasferisci i soldi velocemente. Sebbene sia possibile ricevere una simile lettera dalle istituzioni ufficiali (in circostanze estreme), potrebbe anche essere un caso di phishing. Ciò significa che, di solito, le minacce sono false. Se trasferisci i soldi, finiranno nelle tasche dei truffatori.

Se si desidera verificare se una fattura o un promemoria di pagamento sono legittimi, chiamare la società che lo ha inviato. Di nuovo, tuttavia, non utilizzare le informazioni di contatto elencate nella fattura. Vai sempre al sito Web ufficiale dell’azienda indicato sulla fattura e chiamali o inviali via email. Chiedere conferma della fattura, della quantità di denaro menzionata e dell’account a cui deve essere trasferito prima di pagare qualsiasi cosa.

Email o messaggi sui social media di amici o parenti

Se un criminale ha ottenuto l’accesso all’email o all’account dei social media di una vittima (ad esempio tramite un precedente attacco di phishing), potrebbe utilizzarlo per trovare nuove vittime. Un criminale potrebbe cercare di convincere altre persone a inviargli denaro inviando messaggi agli amici dell’account hackerato. Spesso, questi messaggi iniziano con un semplice “Ciao, come stai?”. Una volta che le persone reagiscono, il criminale chiederà soldi. Ecco un esempio di tale messaggio di phishing, in cui l’account di John è stato violato e il criminale informatico si avvicina al suo amico Matthew tramite Facebook:

Messaggio di phishing di Facebook

Quando senti un amico in difficoltà, probabilmente sei pronto ad aiutarlo. I criminali informatici abusano di questa tendenza creando un senso di urgenza: John è bloccato all’estero e deve tornare a casa il prima possibile. Se Matthew decide di aiutarlo, inconsapevolmente trasferirà denaro su un conto bancario che non è di John, ma di un criminale informatico. Il criminale potrebbe richiedere il trasferimento del denaro tramite PayPal, Western Union, Moneygram o Bitcoin. In alcuni casi, i criminali si impegneranno a mappare l’intera rete di amici dell’account compromesso e persino a leggere i messaggi passati. Utilizzeranno queste informazioni per rendere il loro tentativo di phishing il più convincente possibile.

Hai ricevuto un messaggio da un amico via e-mail, Facebook o un’altra piattaforma di social media chiedendo soldi? Stai attento. Mettiti in contatto con la persona con cui pensi di parlare, ad esempio chiamandola. In questo modo, puoi verificare se sono effettivamente nei guai. In caso contrario, il loro account è stato violato.

“Phishing” per telefono

Smartphone con foto dell'orecchio

A volte il phishing avverrà per telefono. Ciò può accadere quando i criminali hanno già accesso al conto bancario della vittima, ma necessitano anche di altre informazioni. Se la vittima collabora, trasferirà inconsapevolmente denaro ai criminali. Questo potrebbe accadere nel modo seguente:

  1. Il criminale è connesso all’ambiente bancario della vittima e inizia a trasferire denaro sul proprio conto.
  2. Il criminale chiama la vittima, fingendo di essere un impiegato di banca, e chiede il codice TAN ricevuto dalla vittima (ad esempio via SMS).
  3. Se la vittima comunica il codice (che è stato effettivamente inviato per verificare un pagamento), il criminale lo utilizza per completare la transazione sul proprio conto bancario.

I criminali di phishing potrebbero anche fingere di essere un dipendente di Windows o il produttore del computer o dello smartphone. Dichiarano di chiamare per risolvere un problema tecnico. Invece, ti fanno accedere a un sito Web pericoloso, dando loro accesso al tuo computer e alle informazioni personali. In alcuni casi, installeranno persino il ransomware sul tuo dispositivo. Ciò significa che tutti i tuoi file verranno crittografati e presi in ostaggio: non potrai accedervi se non paghi. Se sei diventato vittima di ransomware, assicurati di contattare la polizia.

Ultimamente ci sono state segnalazioni di un diverso tipo di phishing al telefono. Un criminale ti chiamerà da un numero strano, di solito straniero. Quando raccogli, non senti niente. Solo in seguito la bolletta del telefono mostra che la telefonata ti è costata una grande quantità di denaro. Per proteggerti da questo tipo di truffa, non rispondere a nessuna chiamata.

Se vieni mai chiamato da un dipendente di una determinata banca o attività commerciale, non fornire immediatamente i tuoi dati personali, come indirizzo o numero di conto bancario. Assicurati sempre di utilizzare i numeri di telefono ufficiali corretti di un’azienda e verifica se stai effettivamente chiamando con un rappresentante di tale azienda.

Come riconoscere il phishing

Hai ricevuto un’e-mail, un messaggio di testo o un altro messaggio da un’istituzione ufficiale o da un amico che chiede denaro? Pensaci due volte prima di fare qualsiasi cosa! Sia che sembri un messaggio del governo, un negozio online, l’IRS, la tua banca, una compagnia di assicurazioni o un sito web come Amazon, potresti invece avere a che fare con un criminale. Altri tipi di phishing sono la nota e-mail inviata da un “principe nigeriano” o un parente distante che finge di avere accesso a una grande quantità di denaro. Prima che possano inviarti qualsiasi cosa, tuttavia, hanno bisogno che tu trasferisca qualcosa a loro. Non innamorarti di questo tipo di trappole. Non sono reali.

Poiché il phishing può essere difficile da individuare, è importante sapere cosa cercare quando si verifica se un messaggio è legittimo o meno. Ecco alcuni suggerimenti che ti aiuteranno a riconoscere un tentativo di phishing.

Suggerimento 1: errori di saluto, lingua, ortografia e grammatica

Di solito, le mail di phishing vengono inviate a molte persone contemporaneamente. Ciò significa che non sono sempre personalizzati. Invece, finisci per ricevere un’email con un “Caro signor / signora” standard o qualcosa di simile nella parte superiore. Valuta sempre se è strano non essere indirizzato correttamente dalla tua banca, ad esempio prima di fare qualsiasi altra cosa con l’email.

Di solito puoi dire che un’e-mail è falsa quando contiene molti errori di ortografia o grammaticali. Il più delle volte, i criminali informatici che inviano la posta non sono i migliori in inglese e fanno errori evidenti. Un’altra tecnica spesso utilizzata nei messaggi di phishing sta creando un senso di urgenza. Linguaggi come “URGENTE”, “IMPORTANTE” o “AVVISO FINALE” potrebbero indicare che hai a che fare con un’email di phishing.

Tuttavia, non è sempre così. Esistono email di phishing e siti web che non contengono errori e iniziano addirittura con una sorta di saluto personalizzato. Fortunatamente ci sono altre cose che puoi cercare, come ti diremo nei nostri altri suggerimenti.

Suggerimento 2: guarda il mittente dell’e-mail

Elenco con lente d'ingrandimentoLe e-mail di phishing vengono spesso inviate da indirizzi e-mail fraudolenti. Guarda sempre l’indirizzo email del mittente e controlla se è legittimo. Ad esempio, se sei un cliente della Bank of America, potresti ricevere email ufficiali dagli indirizzi che terminano con @ bankofamerica.com. Poiché i criminali informatici non possiedono questo dominio, non possono utilizzare questi indirizzi email. Tenteranno invece di inviarlo da un dominio molto simile o di utilizzare un provider di posta elettronica generico. Potrebbero, ad esempio, utilizzare [email protected] o qualcosa che termina in @ americanbank.com. Anche gli errori di ortografia intenzionali non sono insoliti: aggiungendo una o due lettere al dominio originale, i criminali cercano di indurti a pensare che il messaggio sia legittimo dopo tutto. A volte gli indirizzi e-mail di phishing sono costituiti da numeri e lettere casuali. Sono facili da individuare e non dovrebbero mai essere affidabili.

In alcuni casi, un messaggio di phishing sembra avere un mittente affidabile. A volte sembra addirittura che venga inviato dal tuo indirizzo email. Questo si chiama “spoofing della posta elettronica” e si verifica molto nel phishing e nel compromesso della posta elettronica aziendale (BEC). Non cadere per questo. In caso di dubbi, contatta sempre il mittente cercando le informazioni di contatto giuste sul sito Web ufficiale. Se si tratta di un’email dal tuo indirizzo, semplicemente ignorala.

Suggerimento 3: non condividere informazioni personali

Se ricevi un’e-mail, un messaggio di testo o un altro messaggio che richiede dati personali, ad esempio le informazioni di accesso, questo potrebbe essere un brutto segno. Non condividere mai le informazioni personali o dell’account tramite e-mail (o un altro supporto testuale) se non sei sicuro che siano assolutamente sicure. Molte aziende legittime non chiederanno mai direttamente le tue informazioni. Ciò è particolarmente vero quando si tratta di password, codici TAN e altre informazioni specifiche dell’account. Non importa quanto reale possa apparire un’e-mail o un messaggio, mantieni le tue informazioni private. Se non sei sicuro che un messaggio sia reale o meno, contatta l’organizzazione effettiva tramite il sito Web ufficiale o chiamalo. Non rispondere mai ai messaggi loschi e non fare clic sui collegamenti di cui non ti fidi.

Suggerimento 4: attenzione agli allegati sospetti

Un semplice clic su un allegato in un messaggio di phishing potrebbe già installare spyware come keylogger e trojan sul dispositivo. Apri solo file di cui ti fidi completamente e che prevedi di essere inviati. Cerca tutti i nomi di file e tipi di file che sembrano essere fuori dal comune. File che terminano con .cerniera lampo o .EXE non dovrebbe essere attendibile al valore nominale. Anche i file PDF non sono sempre sicuri. Di seguito troverai una panoramica delle estensioni di file che potrebbero essere utilizzate nelle email di phishing.

  • .pipistrello(Lotto)
  • .com(file di comando)
  • .cpl(Pannello di controllo)
  • .docm(Microsoft Word con macro)
  • .EXE(File eseguibile di Windows)
  • .vaso(Giava)
  • .js(JavaScript)
  • .pif(File di informazioni sul programma)
  • .pptm(Microsoft PowerPoint con macro)
  • .ps1(Windows PowerShell)
  • .scr(File salvaschermo)
  • .VBS(Script di Visual Basic)
  • .WSF(File di script di Windows)
  • .XLSM(Microsoft Excel con macro)
  • .cerniera lampo (Compressa)

Se vuoi sapere che tipo di file è un determinato allegato, controlla semplicemente le lettere del nome del file dopo il punto.

I criminali informatici potrebbero tentare di ingannarti aggiungendo l’estensione del file al nome del file. Ad esempio, potrebbero provare a farti credere di avere a che fare con un file PDF chiamandolo “InvoicePDF.exe”. Invece, è un file .exe utilizzato per installare software dannoso.

Suggerimento 5: attenzione ai collegamenti sospetti

Computer portatile ComputervirusHai individuato un link in un’email di cui non ti fidi? Non fare clic su di esso. Non tutti i link portano al luogo in cui ti dice che ti condurrà. Fortunatamente, puoi facilmente verificarlo spostando il cursore sul link (senza fare clic su di esso!) E controllando l’angolo in basso a sinistra del browser. Apparirà una piccola barra bianca con il sito web esatto a cui conduce il link. È un sito Web che non riconosci o di cui non ti fidi? Quindi probabilmente hai a che fare con un tentativo di phishing.

L’indirizzo potrebbe anche apparire come un sito Web affidabile, ma può essere fatto per ingannarti. Controlla sempre se tutto è scritto nel modo giusto e il dominio è corretto (ad esempio bankofamerica.com/ info anziché bankofamerica.officialwebsite.com/Informazioni). Prestare particolare attenzione quando si utilizza lo smartphone o il tablet, poiché è molto facile fare clic accidentalmente su qualcosa.

Suggerimento 6: rimani aggiornato

La tecnologia e il crimine informatico sono in continua evoluzione. Nuovi modi per proteggersi dal phishing e altre forme di criminalità online continuano ad apparire, proprio come i nuovi modi per i criminali di tentare di ingannare le loro vittime. Ecco perché è importante tenere il passo con le ultime notizie sul phishing e su tutto ciò che è collegato ad esso. Se stai leggendo questo articolo, sei già sulla buona strada. Assicurati di tenere d’occhio anche la nostra sezione notizie. Potrebbero esserci avvisi sui tentativi di phishing internazionali emessi da aziende o governi.

Suggerimento 7: fidati del tuo intuito

Se non sei esattamente sicuro di poterti fidare di un messaggio, email o sito Web, allora non farlo. È meglio prevenire che curare. Mettiti in contatto con l’organizzazione reale e chiediglielo. Se ciò non è possibile, puoi anche cercare l’indirizzo email del mittente online. Se si tratta di un tentativo di phishing che viene utilizzato da un po ‘di tempo, probabilmente altre persone lo avranno già risolto e saranno in grado di dirti se è sicuro o meno.

Come evitare il phishing

Esistono molti modi per riconoscere un’email di phishing, ma è ancora meglio se non li trovi all’inizio. Ecco un paio di trucchi per aiutarti a smettere di phishing.

  • Usa l’autenticazione a due fattori sui tuoi account: se devi eseguire due passaggi durante l’accesso a account importanti (ad esempio con un codice di verifica), le possibilità che i criminali informatici ottengano pieno accesso al tuo account sono molto più scarse.
  • Attiva il filtro antispam: il tuo provider di posta elettronica ha probabilmente un paio di impostazioni che puoi usare per tenere fuori lo spam dalla tua casella di posta. Questo potrebbe non impedire a tutte le email di phishing di raggiungerti, ma ti fornirà un ulteriore livello di sicurezza, quindi incontrerai e-mail malevoli meno spesso. Assicurati che tutti gli indirizzi email importanti da cui potresti ricevere email siano stati inseriti in una whitelist, in modo che non finiscano accidentalmente nella tua cartella spam.
  • Condividi i tuoi dati solo su siti Web sicuri: la barra degli indirizzi ti dirà se la connessione tra te e il sito web che stai visitando è sicura. In tal caso, vedrai un piccolo lucchetto chiuso sul lato sinistro dell’URL e “https: //” (comprese le “s”) nel link. Se manca questo, non dovresti condividere alcuna informazione personale su quella pagina. Molti siti Web di phishing hanno iniziato a utilizzare anche HTTPS, quindi questo piccolo controllo non sarà in grado di salvarti da tutte le truffe. Tuttavia, è un inizio importante. Se desideri saperne di più su HTTPS, abbiamo scritto un articolo completo su questo argomento.
  • Assicurati di sapere come proteggerti online: i nostri 8 semplici passaggi per andare online in sicurezza ti aiuteranno in questo.

Lavorare come un mulo di denaro: accidentalmente criminale

Moneybag con il simbolo di dollaro sul computerAlcuni attacchi di phishing sono collaborazioni tra oltre un centinaio di persone. La più grande fetta di un gruppo del genere è costituita dai cosiddetti “muli del denaro”. Queste persone (spesso studenti) aprono temporaneamente i loro conti bancari per phishing. In questo modo, i soldi rubati possono essere inviati da un account all’altro in modo rapido e semplice, quindi è molto più difficile per le autorità rintracciare i soldi alla mente reale dietro l’operazione. A titolo di risarcimento, ai muli di denaro è consentito mantenere una piccola percentuale del denaro.

I muli di denaro vengono spesso reclutati da un “pastore”. Questo accade sia online, con offerte di lavoro che sembrano legali ma non lo sono, o nella vita reale. Un pastore potrebbe recarsi nei campi da gioco della scuola e in altri luoghi pubblici per chiedere alle persone se vogliono guadagnare qualche soldo in più. Molti muli dei soldi non sono consapevoli del fatto che ciò che stanno facendo è illegale. Sono complici del crimine informatico senza nemmeno saperlo.

Il rischio di essere scoperto dalla polizia è molto più grande per i muli di denaro che per la persona dietro l’attacco. Dopotutto, il percorso del denaro rubato passa attraverso tutti i conti del mulo di denaro. Scoraggiamo chiunque dal prendere parte a tali pratiche. Se qualcuno ti offre un lavoro che richiede che tu gli dia accesso al tuo conto bancario, qualcosa di “phishy” sta sicuramente succedendo.

Cosa fare quando sei vittima del phishing?

Sei diventato vittima del phishing? Le misure di sicurezza che dovresti prendere dipendono dal tipo di truffa. Ecco cosa puoi fare se sei caduto vittima di una truffa di phishing:

  • Quando hai dato a qualcuno i tuoi dati bancari, blocca la tua carta e chiama la tua banca.
  • Se si tratta di un account per un servizio online, velocemente Cambia la tua password e altre informazioni cruciali.
  • Quando hai fatto clic su un link sospetto o scaricato software dannoso, utilizzare un software antivirus per scansionare il computer e mettere in quarantena eventuali virus.
  • Sempre contattare l’azienda o la persona reale e di ‘loro cosa è successo. Potrebbero essere in grado di aiutarti o almeno avvisare gli altri.
  • Segnala il phishing alle autorità competenti, ad esempio la polizia.
  • Informa i tuoi amici (online) sulla truffa. Il criminale potrebbe usare i tuoi dati per fare più vittime.

Conclusione

Il phishing è un brutto tipo di crimine online. Fare clic su un collegamento dannoso o accedere al sito Web errato può avere conseguenze disastrose. Per assicurarti di non essere vittima di questo, è importante rimanere informati. Scopri come riconoscere un messaggio di phishing e cosa fare quando ne ricevi uno. Mantieni il phishing a distanza configurando i tuoi account nel modo giusto. È successo qualcosa a prescindere? Assicurati di contattare le giuste organizzazioni e prendi provvedimenti per ridurre al minimo i danni.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me