skip to Main Content

Cybercrime, una mini-guida per capire e combattere il Phishing e altre truffe

Cybercrime, Una Mini-guida Per Capire E Combattere Il Phishing E Altre Truffe

Si moltiplicano, anche in Italia gli attacchi Phishing e Spear Phishing. Non tutti, però, sanno bene di cosa si tratti esattamente e come contrastarli in modo semplice. Il CERT-PA sintetizza un articolo dell’FBI che traccia una panoramica sul fenomeno e su altri tipi di attacchi del cybercrime 

In Italia si moltiplicano gli allarmi per cyber attacchi di tipo phishing e spear phishing, ma non tutti sanno cosa significhi e soprattutto come proteggersi. Gli esperti di cyber security del CERT-PA hanno diffuso una breve sintesi di un articolo, pubblicato dal Federal Bureau Investigation (FBI), in cui si illustra in maniera semplice il fenomeno e le sue implicazioni, ma soprattutto si spiega cosa fare per difendersi in piccoli passi. Il cybercrime ha preso di mira il nostro paese con ondate di campagne malspam, che sfruttano le email, per rubare informazioni e denaro alle vittime. Infatti, ogni giorno ci sono nuovi tentativi con esche diverse contro utenti e aziende. Lo confermano gli avvisi continui, pubblicati dai“difensori cibernetici” di istituzioni e aziende. Perciò, è fondamentale capire bene quali siano i rischi e i rimedi per contrastare questa minaccia.

Phishing e Spear Phishing

Il phishing è un particolare tipo di truffa effettuata dal cybercrime tramite l’invio di e-mail con l’obiettivo di indurre l’utente a rispondere. Spesso il messaggio include un allegato o un link dannoso che una volta aperto o cliccato sul collegamento, ottiene l’accesso al dispositivo. In questo caso, l’utente malintenzionato, può procedere  a installare malware come ransomware, rubare dati, installare un software che gli consente di tenere traccia di tutte le attività, comprese le password inserite e ottenere l’accesso ai conti bancari, carte di credito e tutte le informazioni personali memorizzate. Lo “Spear” è una versione più sofisticata di phishing, in quanto l’utente malintenzionato invia un messaggio personalizzato che sembra provenire da una fonte attendibile (un amico, un istituto bancario, un partner commerciale, un collega). 

Che cos’è un attacco di phishing?

Il phishing è una forma di ingegneria sociale. Questo tipo di cyber attacchi utilizzano e-mail o siti Web dannosi per richiedere informazioni personali, proponendosi come un’organizzazione affidabile. Ad esempio, un utente malintenzionato può inviare un messaggio apparentemente da una società di carte di credito o da un istituto finanziario per richiedere le credenziali o i dati di un account, informando spesso dell’esistenza di un problema. Quando gli utenti rispondono con le informazioni richieste, gli aggressori possono utilizzarle per ottenerne l’accesso. Gli attacchi di phishing, inoltre, possono provenire da altri tipi di organizzazioni, come gli enti di beneficenza. Gli aggressori del cybercrime spesso approfittano degli eventi attuali e di determinati periodi dell’anno, come ad esempio catastrofi naturali, epidemie e paure per la salute, preoccupazioni economiche, elezioni politiche e vacanze.

Che cos’è un attacco di ingegneria sociale (social engineering)?

In un attacco di ingegneria sociale, un utente malintenzionato utilizza l’interazione umana (le abilità sociali) per ottenere o compromettere informazioni su un’organizzazione e/o sui suoi sistemi informatici. Ponendo domande a un dipendente di un’azienda, potrebbe essere in grado di mettere insieme abbastanza informazioni per infiltrarsi nella rete di un’organizzazione. Peraltro, se non riuscisse ad acquisire dati sufficienti da una fonte, potrebbe contattarne un’altra all’interno della stessa organizzazione.

Quali sono i segnali di pericolo di truffe cibernetiche e cosa fare per combatterle

I messaggi di phishing sembrano spesso legittimi, come se provenissero da una persona o società attendibile. È facile falsificare un logo di una azienda. Il messaggio della mail chiede di cliccare su un link o aprire un allegato. O anche di fornire password, numeri di conto corrente o altre informazioni riservate. Il messaggio della mail induce alla paura e a far reagire rapidamente l’utente. Potrebbe minacciare di chiudere l’account, di ricevere una multa, o addirittura essere arrestato. Combattere queste frodi del cybercrime, però, si può. Gli esperti di cyber security consigliano di proteggere i dispositivi utilizzando software antivirus e antimalware, impostare il software per l’aggiornamento automatico e non dare per scontato il mittente del messaggio. È opportuno chiamare o inviare una mail alla persona o all’azienda per verificare ed eventualmente avere una conferma. In caso di dubbi, non fare mai clic.

Non c’è solo il phishing nelle sue varie forme tra le armi del cybercrime, anche contro bersagli in Italia

Attenzione, il cybercrime non usa solo il phishing nelle sue forme per lanciare attacchi anche in Italia. Ci sono altre forme di truffa cibernetica che sfruttano la voce, il telefono e i messaggi. Dal “Vishing” allo “Smishing”. Secondo gli esperti di cyber security sono tutte insidiose e con un elevato tasso di successo; perciò attenzione.

Gli attacchi Vishing e Smishing

Vishing, come spiega il CERT-PA, è l’approccio del social engineering che sfrutta la comunicazione vocale. Questa tecnica può essere combinata con altre forme di ingegneria sociale che inducono una vittima a chiamare un certo numero e divulgare informazioni sensibili. Gli attacchi di vishing avanzati possono aver luogo completamente tramite comunicazioni vocali sfruttando le soluzioni VoIP (Voice over Internet Protocol) e i servizi di trasmissione. Il VoIP consente facilmente di falsificare l’identità del chiamante (ID), il che può sfruttare la fiducia del pubblico nella sicurezza dei servizi telefonici, in particolare i servizi di rete fissa. Un attacco Smishing è una forma di ingegneria sociale che sfrutta SMS o messaggi di testo. Questi possono contenere collegamenti a pagine Web, indirizzi email o numeri di telefono. Se cliccati, apriranno automaticamente una finestra del browser o un messaggio, oppure comporranno un numero. In tutti i casi si tratta di attività malevole.

Ecco alcuni consigli per non diventare vittima dei cyber criminali

Innanzitutto bisogna diffidare di telefonate o messaggi di posta elettronica non previsti, provenienti da persone che chiedono informazioni su dipendenti o altre informazioni interne. Se un individuo sconosciuto afferma di appartenere a un’organizzazione legittima, va verificata la sua identità direttamente con l’azienda. Inoltre, non vanno fornite informazioni personali o sull’organizzazione dell’azienda, inclusa la sua struttura o le sue reti, nonché quelle personali o finanziarie. Specialmente se le richieste arrivano tramite email (non rispondere). E’ bene anche non inviare informazioni sensibili su Internet prima di aver verificato la sicurezza di un sito Web. A proposito si consiglia di prestare attenzione all’Uniform Resource Locator (URL). Alcuni siti Internet malevoli appaiono identici a uno legittimo, ma l’URL può utilizzare una variazione dell’ortografia o un dominio diverso). Infine, non vanno utilizzate le informazioni di contatto fornite su un sito Web collegato alla richiesta e bisogna installare e gestire software antivirus, firewall e filtri e-mail per ridurre parte del traffico. Ciò sfruttando tutte le funzionalità anti-phishing offerte dal client di posta elettronica e dal browser web.

Cosa fare se si pensa di essere una vittima del cybercrime?

Se si ritiene di aver rivelato involontariamente informazioni riservate su un’organizzazione, bisogna subito provvedere a segnalarle alle persone appropriate all’interno. Inclusi gli amministratori di rete e gli esperti di cyber security. Nel caso si pensi che i propri conti finanziari possano essere compromessi, invece, va contattato immediatamente l’istituto finanziario e si procede alla verifica o chiusura di eventuali conti che potrebbero essere stati compromessi. A proposito è opportuno anche controllare eventuali addebiti sul conto corrente. Infine, è imperativo cambiare subito tutte le credenziali che si ritengono essere state rivelate. A maggior ragione se la stessa password viene utilizzata per più account, e non riutilizzarla in futuro.

Back To Top