Internet e le nuove tecnologie ci hanno portato molte cose buone, ma portano con sé anche una serie di rischi a cui dobbiamo stare attenti. Negli ultimi anni il numero di crimini di phishing è aumentato, quindi è conveniente conoscere questa cifra per essere consapevoli di come possiamo evitare di essere vittime di questo crimine informatico.
Che cos'è il phishing? Conoscere le caratteristiche di questa pratica
Questa è una pratica criminale che utilizza la tecnica del furto di identità per ottenere i tuoi dati personali.
Cerca di indurre la vittima a concedere all'autore del reato l'accesso alle sue informazioni riservate. Nella maggior parte dei casi, ciò che gli hacker cercano è avere accesso alle informazioni del conto bancario per rubare il denaro.
Phishing bancario: come ci provano rubare le bollette?
L'acquisizione dei dati personali della vittima può essere effettuata per diversi scopi. Ad esempio, ottenere foto o video compromessi di te per eseguire successivamente un ricatto.
Ma la verità è che nella maggior parte dei casi si tratta di un phishing bancario in cui il criminale vuole ingannare la vittima spacciandosi per la sua banca per ottenere i suoi dati e le sue password e poter poi prelevare denaro dai loro account.
Nella maggior parte di questi casi, il reato segue il seguente schema:
In primo luogo, la vittima riceve un'e-mail o un SMS che presumibilmente proviene da una banca.
Sebbene esistano casi facilmente individuabili come tentativi di frode, i criminali sono sempre più attenti e cercano di fare in modo che il messaggio che arriva alla futura vittima sia il più fedele possibile a un messaggio che una banca potrebbe inviare, utilizzando il proprio logo, il stesso carattere, ecc.
Normalmente, il messaggio indica al destinatario che si è verificato un qualche tipo di problema con il suo account e che deve accedere al Web per risolverlo.
Il messaggio stesso contiene il link che l'utente deve seguire. Cliccandoci sopra, l'oggetto viene reindirizzato a un sito web che in realtà non è la vera pagina di quella banca. Lì funzionerà normalmente, indicando i tuoi dati personali e persino i tuoi codici di accesso, un momento di cui il criminale che ha inviato il messaggio approfitterà per conservare tutte quelle informazioni. Sarai quindi in grado di accedere ai conti correnti della tua vittima e svuotarli prima che la vittima si renda conto di cosa è successo.
Quali sono gli esempi più comuni?
Il caso delle banche è molto frequente, ma è comune che i criminali utilizzino il nome di altre grandi aziende per cercare di truffare. I messaggi possono arrivare per conto di società elettriche, PayPal, Netflix, Amazon, ecc.
Poiché si tratta di grandi aziende, è molto probabile che il destinatario sia o sia stato un loro cliente a un certo punto, quindi è più probabile che cadano nella trappola. Alcuni tentano persino di impersonare la stessa Agenzia delle Entrate, assicurando alle loro vittime che devono fornire un numero di conto affinché il Tesoro restituisca una certa somma di denaro.
Ma l'operazione è sempre la stessa. Ci viene comunicato che c'è un problema e siamo invitati a fare clic su un collegamento, una volta fatto, arriviamo a un sito Web in cui ci chiederanno dati personali di qualche tipo.
Può anche succedere che dopo aver cliccato sul link non ci vengano chieste ulteriori informazioni. In questo caso significa che è possibile che facendo clic abbiamo consentito l'installazione di qualche tipo di malware sul nostro dispositivo, che ti darà accesso a molte più informazioni personali.
Differenze tra attacchi di phishing e malware
Il phishing è un attacco progettato per ottenere dati personali dalla vittima e quindi avere accesso ai suoi conti bancari, ai suoi social network, WhatsApp, ecc.
Mentre il malware è un software dannoso che prende il controllo del computer per estrarre dati e persinoquindi per continuare a infettare altre apparecchiature informatiche. Il malware può far parte di un attacco di phishing, ma può anche operare in modo indipendente.
Come evitare il phishing informatico
Ora che sappiamo di cosa tratta questo crimine, è il momento di agire per evitare di rimanerne vittima. Ecco alcuni suggerimenti:
- Controlla la sicurezza del tuo computer, mantieni aggiornato il tuo antivirus e utilizza sempre la versione più aggiornata sia dei browser web che del sistema operativo del tuo computer.
- Non fare clic sul collegamento in nessuna email, non importa quanto sia sicuro. Se devi andare su un sito web, fallo dall'URL del browser.
- Ricorda che nessuna azienda o banca ti chiederà mai via email o SMS di fornire i tuoi dati personali.
- Se hai ricevuto una comunicazione e hai dei dubbi, visita il sito web del mittente e formula lì la tua richiesta per sapere se quel messaggio proviene davvero da quell'azienda.
- Controlla periodicamente i tuoi conti bancari per assicurarti che tutto sia in ordine e che non si siano verificate transazioni irregolari.
- Se hai social network aperti, controllali periodicamente per assicurarti che nessuno stia postando per tuo conto.
- Utilizza una password diversa per ogni servizio online e cambiala periodicamente. Esistono gestori di password o amministratori che possono aiutarti in questo compito.
- Se hai ricevuto un documento sospetto, aprilo in Google Drive. Questo lo rende un'immagine o un documento HTML e rende più difficile l'installazione di software dannoso.
- In caso di dubbio, non fare nulla con l'e-mail, non inoltrarla, non rispondere e non fare clic su alcun collegamento.
- Informa l'azienda da cui dovrebbe provenire l'e-mail in modo che sappia che il suo nome viene utilizzato per scopi criminali e possa quindi emettere un avviso.
Passaggi per segnalare
Puoi denunciare questi crimini senza uscire di casa. Come abbiamo appena sottolineato, un buon modo per lanciare un avviso è contattare l'azienda che dovrebbe inviare il messaggio e informarla dell'accaduto. Questo prenderà misure e avvertirà pubblicamente in modo che nessuno sia vittima del crimine.
L'altra opzione è contattare l'Unità per la criminalità telematica della Guardia Civil o la Polizia. Puoi effettuare questo tipo di reclami direttamente online.
Salva l'e-mail e informa le Forze e il Corpo di sicurezza dello Stato in modo che a loro volta indaghino e diffondano un avviso per prevenire potenziali vittime.
Proteggi i tuoi profili social su Facebook e Instagram
Ci sono molte ragioni per cui un criminale potrebbe volere le password dei tuoi social network: impersonarti per trollare i tuoi amici e conoscenti, ottenere l'accesso a informazioni private su di te o persino utilizzare il tuo account per scopi criminali.
Tieni presente che né Facebook né Instagram né altri social network ti chiederanno mai le tue password tramite e-mail o SMS. Non dare la tua password a nessuno e cambiala di tanto in tanto. Inoltre, non utilizzare la stessa password su più di un social network contemporaneamente.
Come avviene il phishing da Gmail?
Il servizio di posta elettronica di Google è così ampiamente utilizzato in tutto il mondo che non sorprende che sia uno dei destinatari della maggior parte degli attacchi di phishing.
In questi casia volte viene utilizzato l'account email di qualcuno che conosci, quindi non dubiti della sua legittimità.
L'e-mail di solito ha un file allegato ed è quando si fa clic su di esso che si verifica l'attacco, poiché per il download ci chiederà la nostra password.Aseña e, poiché non abbiamo sospettato nulla, te lo daremo.
A nostra insaputa, abbiamo concesso all'autore del reato l'accesso al nostro account di posta elettronica e ora utilizzerà il nostro indirizzo per inviare messaggi ai nostri contatti e ottenere allo stesso tempo i loro dati.
Ma le cose possono diventare ancora più complicate. Se quell'account Gmail è quello che abbiamo per accedere ai nostri social network o al servizio di hosting in cui è ospitato il nostro blog, il criminale può accedervi immediatamente.
Altri suggerimenti per riconoscere phishing e spam
Sebbene lo spam sia meno dannoso del phishing, non è nemmeno piacevole ricevere costantemente pubblicità che non ci interessa affatto.
Gli specialisti consigliano che per non essere vittime di frodi online, dovremmo sempre prestare molta attenzione ai siti Web a cui vengono reindirizzati i messaggi. Idealmente, non dovremmo fare clic, ma se lo facciamo, prima di fare qualsiasi altra cosa, dobbiamo verificare che il sito web sia davvero quello dell'azienda.
Ci sono siti web clonati così bene che sono quasi indistinguibili da quelli originali, ma c'è sempre un piccolo cambiamento nell'url che può farci dubitare. Ad esempio, che l'URL invece di essere www.amazon.com sia wwwamazon.com.
D'altra parte, controlla attentamente il messaggio che hai ricevuto. È normale che ci siano errori ortografici o grammaticali che dovrebbero avvisarti. Un caso tipico è una email in cui le parole che dovrebbero avere Ñ usano invece una N.
Pensa che un'azienda seria o anche una Pubblica Amministrazione non ti invierà mai comunicazioni imprudenti con errori.
Infine, fai attenzione se il messaggio cerca di venderti un senso di urgenza, con messaggi del tipo: "accedi al tuo account nella prossima ora o tutti i tuoi dati andranno persi". Quello che vogliono è che tu agisca d'impulso e non prenda precauzioni.
Il phishing è all'ordine del giorno e sta diventando sempre più sofisticato. Ma con un po' di attenzione da parte nostra e seguendo questi suggerimenti, possiamo evitare di rimanerne vittime.
12 domande frequenti sul phishing
1. Che cos'è esattamente il phishing?
Il phishing è una tecnica di inganno utilizzata dai criminali informatici per ottenere informazioni sensibili come password, dettagli della carta di credito, informazioni bancarie e altri dettagli personali. Questa tattica in genere comporta la creazione di un messaggio o di un sito Web fraudolento che impersona un'entità attendibile, come una banca o un social network. L'aggressore invia messaggi, in genere e-mail, cercando di convincere il destinatario a fare clic su un collegamento, scaricare un file o fornire informazioni personali. Una volta che l'utente segue le istruzioni dell'aggressore, i suoi dati vengono compromessi e possono essere utilizzati per scopi dannosi, come frode finanziaria o furto di identità.
2. Come posso identificare un tentativo di phishing?
L'identificazione di un tentativo di phishing può essere difficile a causa della complessità di alcuni attacchi, ma ecco alcuni segnali comuni a cui prestare attenzione:
- Indirizzi email sospetti: le email di phishing provengono spesso da indirizzi che cercano di imitare quelli ufficiali, ma con lievi variazioni o errori di ortografia.
- Richieste urgenti: i messaggi hanno spesso un tono urgente, che fa pressione sul destinatario affinché agisca rapidamente.
- Errori grammaticali e ortografici: sebbene non tutti gli attacchi di phishing contengano errori, molti hanno errori grammaticali o ortografici.
- Link ingannevoli: passare il mouse sopra un link (senza fare clic) può rivelare dove ti porterà effettivamente. Se l'indirizzo nel collegamento sembra strano o non corrisponde all'entità che presumibilmente ha inviato l'e-mail, fai attenzione.
- Richieste di informazioni personali: entità legittime, come la tua banca, generalmente non ti chiederanno di fornire informazioni sensibili via email.
3. Perché è così importante proteggersi dal phishing?
Proteggersi dal phishing è essenziale a causa della natura invasiva e distruttiva di questi attacchi. Cadendo in un tentativo di phishing, le persone non solo rischiano di perdere denaro o di essere vittime di frodi finanziarie, ma possono anche subire danni alla loro reputazione,perdita della privacy e un lungo processo di recupero dell'identità. Inoltre, le aziende possono anche subire violazioni dei dati, che possono comportare sanzioni legali, perdita della fiducia dei clienti e danni alla reputazione del marchio. In breve, il phishing può avere conseguenze devastanti sia a livello personale che professionale, quindi è fondamentale adottare misure preventive.
4. Che tipo di informazioni cercano i criminali informatici con il phishing?
I criminali informatici che utilizzano tattiche di phishing spesso cercano una varietà di informazioni personali e finanziarie. Alcuni dei dati più ricercati includono:
- Password e nomi utente.
- Dettagli della carta di credito o di debito (numeri, date di scadenza, codici CVV).
- Informazioni bancarie, come numeri di conto e codici di accesso.
- Informazioni di identificazione personale, come numeri di previdenza sociale, date di nascita e indirizzi.
- Dati provenienti da account di servizi online (ad esempio, piattaforme di streaming, negozi online).
Questi dati consentono ai criminali informatici di eseguire operazioni fraudolente, rubare identità o vendere le informazioni sul mercato nero.
5. Tutti i tentativi di phishing arrivano via email?
No, sebbene la posta elettronica sia uno degli strumenti più comuni per gli attacchi di phishing, non è l'unico. I criminali informatici usano anche:
- Phishing via SMS (o smishing): quando ricevi messaggi di testo sul tuo cellulare che cercano di indurti con l'inganno a condividere informazioni personali.
- Vishing (voice phishing): è un attacco tramite telefonate in cui i truffatori si atteggiano a rappresentanti legittimi per ottenere dati.
- Phishing sui social media: in cui gli aggressori utilizzano profili falsi o messaggi diretti per ingannare le vittime.
- Phishing nelle applicazioni di messaggistica: come WhatsApp o Telegram, dove vengono condivisi collegamenti o file dannosi.
È fondamentale essere vigili in tutti i canali di comunicazione per non cadere in queste tattiche.
6. In che modo il phishing influisce sui dispositivi mobili?
I dispositivi mobili, come smartphone e tablet, sono frequenti bersagli di attacchi di phishing a causa della loro popolarità e del fatto che molte persone li utilizzano per accedere ai propri account personali e finanziari . Alcuni dei rischi includono:
- Smishing: come accennato in precedenza, è una forma di phishing che utilizza messaggi di testo per ingannare le vittime.
- Applicazioni dannose: a volte, gli aggressori distribuiscono applicazioni che imitano quelle legittime per rubare dati.
- Collegamenti dannosi nelle app di messaggistica: gli aggressori possono inviare collegamenti che, una volta aperti, installano malware o reindirizzano a siti di phishing.
- Wi-Fi non protetto: la connessione del dispositivo a reti Wi-Fi pubbliche può esporlo ad attacchi di phishing intermedi, in cui l'attaccante intercetta la comunicazione.
È essenziale mantenere aggiornati i dispositivi mobili, prestare attenzione quando si scaricano app ed evitare di fare clic su collegamenti o scaricare file da fonti sconosciute.
7. Che cos'è lo spear phishing e in che modo è diverso dal normale phishing?
Spear phishing è una forma di phishing che prende di mira specificamente individui o società specifiche. A differenza del normale phishing, che si diffonde a un vasto pubblico nella speranza che alcune vittime cadano per esso, lo spear phishing è altamente mirato e si basa su ricerche precedenti sulla vittima. I criminali informatici possono utilizzare le informazioni personali che hanno raccolto, come nome, titolo, colleghi e altre informazioni, per far apparire il messaggio più legittimo e convincente.
8. Ho cliccato su un link sospetto, cosa devo fare adesso?
Se hai fatto clic su un collegamento che ritieni sospetto, procedi nel seguente modo:
- Cambia immediatamente le tue password, soprattutto quelle degli account più importanti come la posta elettronicabanche e social network.
- Esegui una scansione completa con il tuo software antivirus e antimalware per rilevare potenziali minacce.
- Se hai scaricato dei file, non aprirli ed eliminali immediatamente.
- Monitora i tuoi conti bancari e carte di credito per qualsiasi attività sospetta.
- Considera la possibilità di abilitare l'autenticazione a due fattori sui tuoi account per aggiungere un ulteriore livello di sicurezza.
- Informati e tieniti aggiornato sulle ultime tattiche di phishing per essere più preparato in futuro.
9. Il software antivirus può proteggermi dal phishing?
Sì, molti programmi antivirus moderni includono funzionalità progettate per proteggere dal phishing. Queste soluzioni possono:
- Identifica e blocca i siti Web di phishing noti.
- Scansiona i collegamenti nelle e-mail e ti avvisa se sembrano sospetti.
- Proteggi i tuoi dati personali e finanziari impedendo che vengano condivisi con siti non sicuri.
Tuttavia, è importante ricordare che nessun software è infallibile. La migliore protezione contro il phishing è l'educazione e un sano scetticismo. Controlla sempre i link e le richieste di informazioni personali prima di agire.
10. Come posso istruire gli altri sui pericoli del phishing?
Educare gli altri sul phishing è essenziale per prevenire potenziali attacchi. Ecco alcuni suggerimenti:
- Organizzare workshop o seminari sulla sicurezza informatica.
- Condividi risorse educative come articoli, infografiche e video sul phishing.
- Utilizza esempi reali di tentativi di phishing per mostrare come identificarli.
- Consiglia strumenti ed estensioni del browser che aiutano a rilevare i siti di phishing.
- Promuovere una cultura in cui non si fa clic sui collegamenti o si scaricano file da e-mail sconosciute.
11. Quali passaggi aggiuntivi posso adottare per proteggere le mie informazioni personali online?
La protezione delle tue informazioni personali online è fondamentale. Ecco alcuni suggerimenti aggiuntivi:
- Utilizza password complesse e univoche per ciascun account e aggiornale regolarmente.
- Abilita l'autenticazione a due fattori quando possibile.
- Evita di utilizzare reti Wi-Fi pubbliche per transazioni sensibili o per accedere ad account importanti.
- Aggiorna regolarmente software, browser e sistemi operativi.
- Limita la quantità di informazioni personali che condividi sui social media.
12. Dove posso segnalare i tentativi di phishing?
Se sospetti di essere stato oggetto di un tentativo di phishing, è importante segnalarlo. Puoi farlo su:
- Il gruppo di crimini telematici della Guardia Civil o la corrispondente forza di polizia nella tua località.
- La piattaforma APWG (Anti-Phishing Working Group) che raccoglie e analizza i tentativi di phishing a livello globale.
- Al dipartimento di sicurezza o supporto tecnico dell'azienda che presumibilmente ti ha inviato l'e-mail.
- L'Internet User Safety Office (OSI) offre risorse e guide su come agire in caso di questi incidenti.