Hai la certezza che sia stata proprio la tua banca a inviarti una certa e-mail o che il link su cui stai per cliccare sia davvero sicuro? Se invece stessi per cadere vittima di una truffa di phishing?
Il termine phishing descrive un tipo di attacco informatico di natura creativa che inganna gli utenti da molti anni. Quando raggiunge il suo scopo, permette ai criminali di rubare dati e soldi alla vittima e installa malware e altri virus sui suoi dispositivi.
Ecco come puoi individuare una truffa di phishing ed evitare di caderne vittima.
Cos'è il phishing?
Non è difficile capire l'origine di questo termine. La parola "phishing" infatti è un chiaro riferimento alla modalità con cui viene messa in atto la truffa dagli hacker, che "adescano" e "catturano" la vittima proprio come si fa con una canna da pesca. L'hacker è il pescatore e il pesce potresti essere proprio tu.
Ci sono diverse tecniche di phishing. Il metodo più comune consiste nell'invio di un'e-mail, ma esistono anche attacchi molto più sofisticati.
Quando invia un'e-mail di phishing, il criminale si finge un contatto fidato, un amico o un'azienda realmente esistente e inserisce nel messaggio un oggetto accattivante e tutti gli elementi che possono farlo sembrare autentico.
Tipologie di phishing
Ecco le tre tipologie di phishing più diffuse.
Estorsione diretta
La forma più famosa di estorsione diretta è la cosiddetta truffa del "principe nigeriano", in cui il criminale inizia a parlare con la vittima riuscendo a convincerla a inviargli del denaro. Spesso vede in azione un truffatore che si spaccia per un uomo ricco residente all'estero e che promette una significativa ricompensa in cambio di un "esiguo" investimento.
Negli ultimi anni, questi criminali hanno iniziato a prendere di mira i frequentatori di app di incontri. Dopo essersi guadagnati la fiducia della vittima e averla convinta della loro buona fede, raccontano di trovarsi in situazioni per cui hanno urgente bisogno di denaro.
Per fortuna, ultimamente queste truffe sono diventate piuttosto conosciute dagli utenti con una conseguente diminuzione del numero delle vittime.
Siti web falsi
In alcune truffe di phishing, l'e-mail è solo il punto di partenza di un tipo di attacco molto più sofisticato.
Anche in questo caso, l'e-mail contiene un link pericoloso che però reindirizza la potenziale vittima su una pagina web appositamente creata dal criminale, molto simile all'e-mail ricevuta e al sito web di quello che credi essere il vero mittente. Ad esempio, se qualcuno finge di essere un rappresentante bancario che ti chiede di reimpostare i tuoi dati di accesso, la pagina contraffatta richiamerà quella della banca in questione in termini di aspetto e contenuti.
Tuttavia, se inserisci i dati richiesti, come la password o le credenziali della tua carta, queste informazioni non verranno crittografate e saranno visibili al truffatore.
Tipologie di attacchi di phishing
Gli attacchi di phishing assumono una varietà di forme e la differenza principale tra queste consiste nella modalità di esecuzione. Ecco alcune delle tipologie di phishing più diffuse.
phishing via e-mail
Il phishing via e-mail è probabilmente la tipologia più diffusa. Come suggerisce lo stesso nome, l'attacco viene effettuato tramite e-mail. Di solito, le e-mail create dai truffatori replicano in modo scadente l'aspetto di siti web e loghi reali per indurre le vittime a rivelare i propri dati sensibili.
Spear phishing
A differenza di altri tipi di attacchi, nello spear phishing i truffatori si concentrano su uno specifico bersaglio. Nella maggior parte dei casi, si tratta di singole persone o aziende.
whaling
Il whaling, anche noto come "truffa del CEO", è un tipo di attacco che, come lo spear phishing, si concentra su uno specifico bersaglio. Tuttavia, gli attacchi di whaling solitamente prendono di mira funzionari di alto livello o membri senior di un'azienda per ottenere l'accesso non autorizzato a dati finanziari o sistemi informatici.
Vishing and Smishing
A differenza degli altri attacchi di phishing, quelli di Vishing and Smishing sono diretti al telefono di una potenziale vittima. Il termine vishing si riferisce al voice phishing, un tipo di attacco in cui il truffatore telefona alla vittima fingendosi una banca e offrendo allettanti opportunità di investimento. Lo smishing, invece, si limita all'invio di messaggi di testo, ma lo scopo dell'attacco e il modo in cui è progettato è molto simile al phishing via e-mail.
Statistiche di phishing
Al giorno d'oggi, gli attacchi di phishing sono tra le minacce più diffuse e pericolose che le aziende e gli utenti in generale devono affrontare quotidianamente.
Un recente studio ESET ha riscontrato un aumento del 7,3% degli attacchi di phishing via e-mail tra maggio e agosto 2021. Un altro studio effettuato da IBM ha rilevato un aumento del 2% degli attacchi di phishing tra il 2019 e il 2020. Il report 2021 sulla violazione dei dati di Verizon ha messo in luce il fatto che gli attacchi di phishing fanno parte di circa il 36% di tutte le violazioni online.
Nel corso degli anni, gli attacchi di phishing sono diventati molto più frequenti e sofisticati. Mentre i ricercatori di Tessian hanno scoperto che il 76% delle e-mail di phishing prese in esame non conteneva allegati pericolosi, il rapporto SonicWall 2021 sulle minacce informatiche ha riscontrato un forte aumento del numero di file PDF e Microsoft Office dannosi tra il 2018 e il 2020. Probabilmente, ciò è dovuto al fatto che gli utenti sono portati a credere all'autenticità di questo tipo documenti. Secondo il Check Point, infatti, Microsoft è uno dei marchi più sfruttati per mettere in atto le truffe di phishing: il falso mittente del 43% delle e-mail contraffatte risulta essere proprio questo gigante della tecnologia. Altre aziende per cui spesso si spacciano i truffatori sono DHL, Amazon e LinkedIn.
Secondo il rapporto Verizon, negli attacchi di phishing i tipi di dati maggiormente compromessi sono credenziali (come password, codice PIN e nome utente), informazioni personali (come nome, cognome e indirizzo e-mail) e informazioni sanitarie (come richieste di risarcimento e numeri di previdenza sociale). Inoltre, il report rileva una perdita media pari a $30.000 per le aziende la cui e-mail viene contraffatta.
Il rapporto sulle minacce informatiche 2021 di Cisco ha analizzato i settori maggiormente presi di mira e ha scoperto che i servizi finanziari occupano il primo posto nella lista degli obiettivi di phishing. Tra gli altri settori spesso oggetto di attacchi troviamo quello del retail, dell'industria manifatturiera, del food and beverage, di ricerca e sviluppo e tecnologico.
Quali sono gli indizi più comuni che possono aiutarci a individuare un tentativo di phishing?
Gran parte delle truffe di questo tipo è finalizzata a spaventare gli utenti per fare in modo che agiscano d'istinto. Spesso le e-mail di phishing li informano del fatto che si è verificato un problema con il loro account e che, per risolverlo, devono cliccare su un link pericoloso o scaricare un allegato. Di conseguenza, non sorprende che la maggior parte delle e-mail di questo tipo sia contrassegnata come urgente.
I truffatori si concentrano anche sulla creazione di siti molto simili a quelli di aziende ritenute affidabili, inserendovi anche gli stessi loghi per ingannare gli utenti.
Individuare il phishing
Nella maggior parte delle e-mail di phishing sono presenti dei tipici indizi a cui è necessario prestare attenzione.
La prima cosa a cui devi fare caso è se viene utilizzato il tuo vero nome. Espressioni come "caro cliente" o "a chi di competenza" sono un campanello d'allarme.
Spesso i truffatori inviano enormi quantità di e-mail identiche non indirizzate a specifiche persone ma, quando un'azienda vera ti contatta, di sicuro conosce il tuo nome.
Anche il linguaggio utilizzato nelle e-mail di phishing può essere un segnale da non sottovalutare. Presta attenzione a espressioni strane ed errori grammaticali o di ortografia: nelle e-mail autentiche non li troverai.
Naturalmente, anche l'indirizzo del mittente è importante. Assicurati sempre che sia vero. In caso di dubbi, confrontalo con quello che trovi nelle altre e-mail ricevute dalla stessa azienda.
Infine, non fidarti delle e-mail che ti trasmettono un senso di urgenza. Se qualcuno ti chiede di inviargli denaro o ti invita a cliccare su un link "prima che sia troppo tardi", non è di sicuro un buon segno. I criminali spesso tentano di far andare la vittima nel panico, facendola agire in modo istintivo prima che possa verificare l'autenticità dell'e-mail.
Cosa succede se clicchi su un link di phishing o scarichi un allegato pericoloso?
Quando ottengono i risultati sperati, i truffatori condividono il loro successo con altri criminali. Ecco perché, se hai già subito una truffa di phishing, gli attacchi diretti a te si moltiplicheranno.
Una truffa di phishing può provocare anche la perdita di dati sensibili (tra cui nome, indirizzo, numero di telefono e altre informazioni di identificazione personale), che può comportare problemi ancora più gravi, come il furto dell'identità .
Un attacco di phishing andato a buon fine può anche compromettere tutti i dati di un'azienda, portandola alla rovina.
Come prevenire il phishing
Fermati un attimo e rifletti.
È fondamentale. Non seguire le istruzioni contenute in un'e-mail subito dopo averla letta. Qualcuno ti sta invitando a cliccare su un link per ricevere un premio in denaro? Ti viene chiesto di visitare un sito web perché devi modificare la tua password il prima possibile? Fermati un attimo e assicurati che l'e-mail sia autentica.
Non cliccare sui link.
La maggior parte delle e-mail di phishing chiede di cliccare su un link, che induce l'utente a installare malware, virus e ransomware sul suo dispositivo. Puoi fare in modo che questo non accada evitando di cliccare sui link contenuti nelle e-mail, a meno che tu non abbia verificato che il mittente sia affidabile.
In caso di dubbi, apri una nuova scheda e visita il sito web del mittente dell'e-mail. Per una sicurezza ancora maggiore, puoi anche scrivergli o chiamarlo per verificare che ti abbia davvero contattato.
Non fare affidamento solo sui filtri antispam.
I filtri antispam spostano la posta indesiderata in un'apposita cartella per poi eliminarla, ma non sempre riescono a individuare tutti i messaggi pericolosi. Non dare per scontato che un'email sia sicura solo perché non è stata filtrata. Questi errori capitano spesso, perciò fai molta attenzione.
Cerca di ricordare se hai già comunicato con il mittente in precedenza.
Se una banca di cui non sei cliente ti chiede di accedere al tuo conto online tramite un'e-mail, sicuramente si tratta di un tentativo di truffa. La maggior parte delle e-mail di phishing viene inviata nella speranza che chi la riceve clicchi sul link in essa contenuto senza riflettere. Chiediti se hai effettivamente un qualche tipo di rapporto con l'azienda che il mittente afferma di rappresentare. Se la risposta è no, ignora o elimina il messaggio.
Conclusione
Le e-mail di phishing possono essere molto efficaci e costituiscono una delle truffe online più diffuse al mondo. La migliore difesa contro di esse è costituita da attenzione e buon senso.