phishing
Complessità bassa
Complessità bassa
Livello sicurezza 3/5
Livello sicurezza 3/5

Tempo di lettura stimato: 8 min.

Articolo

In questo articolo trovi consigli e raccomandazioni su come proteggersi dal phishing (email contraffatte). Evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.

  • Cos'è il Phishing?
  • Come possiamo difenderci?
  • Cosa fare in caso di attacco riuscito?

Cos’è il Phishing?

Il Phishing è un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima.

Gli attacchi Phishing sono generalmente indirizzati a più persone e utilizzano le e-mail o i siti internet falsificati per attirare le persone ed indurle a fornire informazioni da utilizzare per usi illeciti.

La tecnica più utilizzata è  l’invio di email contraffatte, con l’obiettivo di acquisire, per scopi illegali, dati riservati oppure per far compiere alla vittima determinate operazioni/azioni (illecite).

I malintenzionati che si avvalgono delle tecniche di phishing non utilizzano un software malevolo (come un virus, spyware, malware) ma utilizzano tecniche di social engineering. In particolare, vengono analizzate le abitudini delle potenziali vittime (singola persona o un gruppo di persone, come i colleghi di una stessa azienda) al fine di individuare informazioni utili per rendere quanto più possibile veritiera la mail da inviare.

Il phishing è quindi un attacco di social engineering basato sull’interazione umana: è necessaria la partecipazione attiva della vittima, la quale viene portata (con l’inganno) ad aprire la mail e a cliccare su un link oppure a scaricare un allegato dannoso.

Ad esempio il criminale ti invia una e-mail fingendosi la tua banca, le Poste o un’azienda finanziaria, nella quale ti indica che un problema al tuo account devi inserire i dati di accesso (come nome utente e password) per un reset della password o per la riattivazione dello stesso.

Le fasi dell’attacco  

E’ possibile suddividere questo attacco in fasi:

  1. Il criminale invia alle potenziali vittime dei messaggi di posta elettronica contenenti delle informazioni il più possibile veritiere, familiari o comunque il più possibile vicini alla realtà. 
    • Ad esempio potrebbe riguardare un messaggio della tua banca, la scadenza della password di un determinato servizio on-line, i cambiamenti contrattuali, il rinnovo della carta prepagata un’offerta di lavoro.
  2. Catturata l’attenzione dell’utente, il contenuto della mail chiede all’utente di scaricare un allegato o cliccare su un link (collegamento ipertestuale)
  3.  Nel caso l’utenti scarichi l’allegato, quest’ultimo installerà un virus/malware che nei casi più gravi bloccherà il funzionamento del tuo dispositivo e quindi l’accesso ai tuoi dati, per poi chiederti un risarcimento in denaro (frequentemente in bitcoin).
  4. Nel caso l’utente abbia cliccato sul link, visualizzerà un sito molto simile a quello “ufficiale”, con l’obiettivo di ingannare la vittima e farle inserire username, password o altre potenziali informazioni utili al criminale. Con questi dati il criminale potrà rubare soldi dalla carta prepagata, attivare servizi on-line a pagamento a nome del malcapitato, …. 

Un esempio di mail di phishing

poste-phishing

Come riconoscere una truffa nella precedente email?

  • L’indirizzo del mittente “cliente.kdg@sicurezza.poste.it” è chiaramente diverso dalla casella email con cui Poste invia una comunicazione (clienti@posteitaliane.it). Raccomandiamo di cercare su un motore di ricerca la mail ufficiale per una verifica. Alcune volte è molto simile quindi prestare la massima attenzione per le mail che ci richiedono informazioni dell’account o dati personali.
  • Analizza l’indirizzo del link che normalmente trovi in questo tipo di mail, anche in questo caso, come per il punto precedente, effettua un confronto con le email ufficiali del servizio.
  • Controlla l’ortografia della mail, anche se ultimamente sono più raffinate queste potrebbero presentare frasi scritte in maniera errata o poco comprensibili.
  • Controlla il sito del servizio, in alcuni casi troverai pagine web dedicate al problema. Come ad esempio la pagina delle Poste Italiane che trovi qui.

Altro caso è l’SMS con un indirizzo chiaramente non riconducibile a quello del servizio. Di seguito trovi un tentativo di phishing con mittente PosteInfo (una truffa):

sms-poste-phishing

Come visto, alcune tecniche sofisticate ti propongono di accedere tramite un link che da un’analisi superficiale può apparire simile a quello originario, inoltre, per accrescere la fiducia, realizzano una pagina web graficamente paragonabile a quella originaria, come quella che segue:

sito poste phishing

Come puoi proteggersi dal phishing (email contraffatte)?

Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale. Tieni sempre presente che siamo noi la prima arma di difesa da questi attacchi, pertanto: 

  • Non rivelare informazioni personali o finanziarie o riguardanti il vostro lavoro tramite e-mail (è necessario gestire i propri dati con cura e diffonderli il meno possibile)
  • Non cliccare su link e non aprite allegati se non sei certo della provenienza.
  • Contattare il mittente di una e-mail ricevuta, se non si è certi della sua legittimità o del suo contenuto, ad es. se ricevi mail che sembrano provenire dalla tua banca nella quale ti chiede di inserire dati personali (login e password o numero di carta di credito) verifica sempre la veridicità della mail chiamando telefonicamente la banca.
  • Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
  • Fai attenzione agli indirizzi (URL) dei siti internet. Come visto, i siti malevoli possono sembrare identici graficamente a quelli legittimi ma con più attenzione vedrai delle differenze (poste.it è diverso da postee.it), quindi verificare all’apertura della pagina, che il dominio sia effettivamente quello “ufficiale“
  • controllare che la connessione sia HTTPS (avrai maggiori sicurezze sul mittente).
  • installa nel computer un antivirus che ti protegga anche dal phishing e aggiornalo costantemente.
  • stai attento ai messaggi di Spam, questi sono al 90% mail spazzatura o tentativi di phishing
  • utilizza password robuste (sicure) e cambiarle con frequenza, inoltre non utilizzare mai la stessa password per i vari servizi on-line.

Cosa fare in caso di attacco riuscito?

Nel caso tu abbia già ricevuto una mail di phishing e sei cascato nella “trappola”, in alcuni casi puoi ancora rimediare. Ad esempio, se hai inserito i tuoi dati su un sito “fake“, puoi contattare immediatamente il gestore del servizio on-line (le Poste Italiane, la tua banca, …) e avvertirlo di quanto accaduto. In seguito effettua subito  un cambio password sul portale “ufficiale” e ricorda di non utilizzare mai la stessa password per più servizi on-line.

Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.

Resta connesso!!!

mail

ISCRIVITI ALLA NOSTRA NEWSLETTER

Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati

CONDIVIDI QUESTO ARTICOLO

Contribuisci alla diffusione della cultura digitale

INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO

pillole informative

LEGGI TUTTI I NOSTRI ARTICOLI

Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni

Ultimi articoli pubblicati

Cambia la privacy e la sicurezza in Chrome: scopri i dettagli

Cambia la privacy e la sicurezza in Chrome: scopri i dettagli

Scopri come cambia la privacy e la sicurezza in Chrome. Un nuovo aggiornamento consente una migliore gestione per la protezione dei tuoi dati personali e la tua sicurezza.
Leggi
Cosa sono i cookies del browser, scopri i rischi e le potenzialità

Cosa sono i cookies del browser, scopri i rischi e le potenzialità

Scopri cosa sono i cookies del browser, quali sono i rischi e quali le potenzialità di questi file utilizzati da buona parte dei siti web.
Leggi
Carta di credito rubata o clonata – Cosa puoi fare

Carta di credito rubata o clonata – Cosa puoi fare

Cosa fare quando la nostra carta di credito è stata rubata o clonata. Quali azioni intraprendere prima e dopo per tutelarci dai furti sul nostro conto.
Leggi
Truffa WhatsApp dei buoni Ikea in regalo

Truffa WhatsApp dei buoni Ikea in regalo

Attenzione a un messaggio truffa sulla chat WhatApp che promette buoni Ikea da 250 euro. Si tratta di una truffa per rubare i tuoi dati.
Leggi
Cos’è una rete informatica?

Cos’è una rete informatica?

Cos'è una rete informatica (o rete di calcolatori) e quali sono le diverse tipologie a seconda del mezzo trasmissivo, topologia o protocollo. Leggi la definizione e le caratteristiche in questo articolo.
Leggi
La differenza tra dato e informazione

La differenza tra dato e informazione

Per comprendere fino in fondo il significato delle raccomandazioni e dei diritti del cittadino è importante conoscere la differenza tra dato e informazione. In questa pillola descriviamo brevemente questa differenza.
Leggi
EasyJet, violazione dei dati personali degli utenti

EasyJet, violazione dei dati personali degli utenti

Ti informiamo sul maxi attacco subito da EasyJet e sui rischi per i tuoi dati personali. Inoltre ti indichiamo alcune raccomandazioni per tutelarti da possibili truffe.
Leggi
Le truffe informatiche durante l’epidemia di Coronavirus (covid-19)

Le truffe informatiche durante l’epidemia di Coronavirus (covid-19)

Scopri le truffe informatiche durante il Coronavirus (Covid-19) che stanno ingannando diverse vittime sfruttando le paure e le necessità dei cittadini. Leggi i consigli su come difenderti con alcune semplici accortezze.
Leggi