phishing (email false)
Complessità bassa
Complessità bassa
Livello sicurezza 3/5
Livello sicurezza-privacy 3/5
Tempo di lettura: 8 min.

Articolo

In questo articolo trovi consigli e raccomandazioni per proteggerti dal phishing (email false). Evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.

Phishing (email false)

Il phishing (email false) è un tipico attacco di social engineering che sfrutta l’interazione della vittima per compiere truffe di vario tipo.

Gli attacchi di phishing sono generalmente indirizzati a più persone e utilizzano le e-mail o i siti internet falsificati per attirare le persone ed indurle a fornire informazioni riservate per usi illeciti.

La tecnica più utilizzata è  l’invio di email contraffatte con l’obiettivo di acquisire dati riservati oppure per far compiere alla vittima determinate operazioni/azioni illecite.

I malintenzionati che si avvalgono delle tecniche di phishing non utilizzano un software malevolo (come un virus, spyware, malware) ma tecniche di social engineering. In particolare, vengono analizzate le abitudini delle potenziali vittime che possono essere singole persone o gruppi di persone (come i colleghi di una stessa azienda). Dalle loro abitudini i criminali ottengono informazioni utili per rendere il più possibile veritiera la mail da inviare per ingannare la vittima.

Quanto diciamo che il phishing è un attacco di social engineering basato sull’interazione umana intendiamo che è necessaria la partecipazione attiva della vittima. In altre parole questa viene portata (con l’inganno) ad aprire la mail e a cliccare su un link oppure a scaricare un allegato dannoso. Un esempio comune si ha quando il criminale ti invia una e-mail fingendo di essere la tua banca, le Poste Italiane o un’azienda finanziaria. Nella email viene indicato un problema al tuo account che può essere risolto solo inserendo i tuoi dati di accesso (di solito “nome utente” e “password”).

Le fasi dell’attacco

E’ possibile suddividere l’attacco phishing (email false) in quattro fasi:

  1. Il criminale invia alle potenziali vittime dei messaggi di posta elettronica contenenti delle informazioni il più possibile veritiere, familiari o comunque vicine alla realtà.
    • Ad esempio potrebbe riguardare un messaggio della tua banca, la scadenza della password di un determinato servizio on-line, i cambiamenti contrattuali, il rinnovo della carta prepagata o un’offerta di lavoro.
  2. Catturata l’attenzione dell’utente, il contenuto della mail chiede all’utente di scaricare un allegato o cliccare su un link (collegamento ipertestuale)
  3.  Nel caso l’utenti scarichi l’allegato, quest’ultimo installerà un virus/malware. Nei casi più gravi verrà bloccato il funzionamento del tuo dispositivo (non potrai più accedere ai tuoi dati) e ti verrà chiesto un riscatto in denaro (frequentemente in bitcoin).
  4. Nel caso l’utente abbia cliccato sul link, visualizzerà un sito molto simile a quello “ufficiale” (un sito fake), con l’obiettivo di ingannare la vittima e farle inserire username, password o altre potenziali informazioni di interesse. Con questi dati il criminale potrà rubare i tuoi soldi dalla carta prepagata, attivare servizi on-line a tuo nome, ….

Un esempio di phishing (email false)

Di seguito ti riportiamo un esempio di email di phishing. In questo caso i criminali hanno sfruttato il nome dell’azienda Poste Italiana per provare ad ingannare i destinatari della email.

poste-phishing

Come riconoscere una truffa nella precedente email?

  • L’indirizzo del mittente “cliente.kdg@sicurezza.poste.it” è chiaramente diverso dalla casella email ufficiale con cui le Poste inviano le comunicazioni (clienti@posteitaliane.it). Ti raccomandiamo di cercare su un motore di ricerca la email ufficiale per una verifica del corretto mittente. Alcune volte è molto simile (è presente un sinbolo in più o manca una lettera) quindi prestare la massima attenzione per le mail che ci richiedono informazioni dell’account o dati personali.
  • Analizza l’indirizzo del link che normalmente trovi in questo tipo di email. Anche in questo caso, come per il punto precedente, effettua un confronto con le email ufficiali del servizio.
  • Controlla l’ortografia della mail, anche se ultimamente sono più raffinate queste potrebbero presentare frasi scritte in maniera errata o poco comprensibili.
  • Controlla il sito del servizio, in alcuni casi troverai pagine web dedicate al problema. Come ad esempio la pagina ufficiale delle Poste Italiane che trovi qui.

Un altro caso è l’SMS con un indirizzo chiaramente non riconducibile a quello del servizio. Di seguito trovi un tentativo di phishing con mittente PosteInfo (una truffa):

sms-poste-phishing

Come visto alcune tecniche sofisticate ti propongono di accedere tramite un link che da un’analisi superficiale può apparire simile a quello ufficiale. Inoltre per accrescere la fiducia i criminali realizzano una pagina web graficamente paragonabile a quella originaria, come quella che segue:

sito poste phishing

Come puoi proteggersi dal phishing (email contraffatte)?

Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale. Tieni sempre presente che sei tu la prima arma di difesa da questi attacchi, pertanto: 

  • Non rivelare informazioni personali o finanziarie o riguardanti il tuo lavoro tramite email (è necessario gestire i propri dati con cura e diffonderli il meno possibile).
  • Non cliccare su link e non aprite allegati se non sei certo della provenienza.
  • Contattare il mittente di una email ricevuta, se non si è certi della sua legittimità o del suo contenuto. Ad esempio se ricevi mail che sembrano provenire dalla tua banca nella quale ti chiede di inserire dati personali (login e password o numero di carta di credito) verifica sempre la veridicità della mail chiamando telefonicamente la banca.
  • Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
  • Fai attenzione agli indirizzi (URL) dei siti internet. Come visto i siti malevoli possono apparire identici graficamente a quelli legittimi ma con maggiore attenzione vedrai delle differenze (poste.it è diverso da postee.it). Quindi verificare all’apertura della pagina che il dominio sia effettivamente quello “ufficiale“.
  • Controllare che la connessione sia HTTPS (avrai maggiori sicurezze sul mittente).
  • Installa nel computer un antivirus che ti protegga anche dal phishing e aggiornalo costantemente.
  • Stai attento ai messaggi di Spam, questi sono al 90% mail spazzatura o tentativi di phishing.
  • Utilizza password robuste (sicure) e cambiarle con frequenza, inoltre non utilizzare mai la stessa password per i vari servizi on-line.

Cosa fare in caso di attacco riuscito?

Nel caso tu abbia già ricevuto una mail di phishing cascando nella “trappola”, in alcuni casi puoi ancora rimediare.

Se hai inserito i tuoi dati su un sito “fake“ puoi contattare immediatamente il gestore del servizio on-line (le Poste Italiane, la tua banca, …) e avvertirlo di quanto accaduto. In seguito effettua subito  un cambio password sul portale “ufficiale” e ricorda di non utilizzare mai la stessa password per più servizi on-line.

Se invece hai scaricato un allegato effettua una scansione con il tuo antivirus. Nonostante ciò questo potrebbe non bastare a contenere l’attacco, quindi ti consigliamo di seguire i prossimi articoli per mantenere al sicuro le tu informazioni (come realizzare una copia di backup periodicamente).

phishing (email false)

Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.

Resta connesso!!!
mail
ISCRIVITI ALLA NOSTRA NEWSLETTER

Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati

CONDIVIDI QUESTO ARTICOLO

Contribuisci alla diffusione della cultura digitale

INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO
pillole informative
LEGGI TUTTI I NOSTRI ARTICOLI

Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni

Ultimi articoli pubblicati
Attenzione alle False Offerte di Lavoro

Attenzione alle False Offerte di Lavoro

Attenzione, in rete circolano false offerte di lavoro nelle quali i criminali tentano di rubare il tuo documento d’identità per varie truffe. Scopri i dettagli in questa pillola.
Read More
Proteggi i messaggi, le foto e i video su WhatsApp con la crittografia end-to-end

Proteggi i messaggi, le foto e i video su WhatsApp con la crittografia end-to-end

Con la crittografia end-to-end su Whatsapp i tuoi messaggi, foto, video, messaggi vocali, documenti, aggiornamenti allo stato e chiamate non potranno essere letti da persone non autorizzate (hacker).
Read More
Perché è importante l’autenticazione a due fattori (verifica a due passaggi)?

Perché è importante l’autenticazione a due fattori (verifica a due passaggi)?

L'autenticazione a due fattori (o verifica a due passaggi) ti consente di aumentare la sicurezza del tuo account (Gmail, Outlook, Banca, Poste, ...) contro gli hacker.
Read More
Furto d’identità: la truffa con la tua carta d’identità

Furto d’identità: la truffa con la tua carta d’identità

Scopri i dettagli della truffa con la tua carta d'identità. Sono in aumento i casi di furto d'identità tramite posta elettronica
Read More
La truffa della falsa email dell’Agenzia delle Entrate

La truffa della falsa email dell’Agenzia delle Entrate

Scopri i dettagli sulla falsa email dell'Agenzia delle Entrate che sta circolando in Rete. Si tratta della nuova truffa di phishing.
Read More
Consenso e Informativa Privacy: cosa sono e quando sono obbligatori

Consenso e Informativa Privacy: cosa sono e quando sono obbligatori

Il consenso e l'informativa privacy sono obbligatori per alcuni trattamenti. Vediamo in quali casi e quali sono le tutele dei cittadini.
Read More
Aumento degli attacchi “man in the middle”. Scopri cosa sono e come difenderti.

Aumento degli attacchi “man in the middle”. Scopri cosa sono e come difenderti.

Nell’ultimo periodo la Polizia Postale ha rilevato un aumento delle truffe tramite l’attacco man in the middle. In questo articolo ti spieghiamo come riconoscere queste truffe e come difenderti.
Read More
Videosorveglianza: quando posso installare una telecamera di sicurezza

Videosorveglianza: quando posso installare una telecamera di sicurezza

L’installazione delle telecamere di sicurezza (videosorveglianza) non è sempre possibile. Nell'articolo trovi i dettagli e i vincoli normativi.
Read More