Il phishing rappresenta un rischio significativo per le aziende e gli individui. Si tratta di un tipo di attacco informatico che utilizza tecniche di ingegneria sociale per ingannare gli utenti e ottenere le loro informazioni personali. In questo articolo descriverò il concetto di phishing, spiegherò il processo che segue e fornirò esempi di tipiche truffe che coinvolgono il phishing. Se sei consapevole di cosa sia il phishing, come funziona e delle minacce e dei metodi per riconoscerle, sarai in grado di proteggere la tua azienda e te stesso dai danni.
Cos’è esattamente il Phishing?
Il phishing è una forma di attacco informatico in cui gli scammer utilizzano una varietà di tecniche per rubare informazioni sensibili come password per l’accesso e numeri di carte di credito o informazioni personali. Utilizzano il trucco psicologico della manipolazione e metodi di ingegneria sociale per ingannare le loro vittime. Di solito fingono di essere una fonte affidabile come un’istituzione, una banca o un sito di social media, o un’agenzia governativa, al fine di guadagnare la fiducia della persona che stanno cercando di convincere. Dopo che la vittima è stata manipolata a fornire i propri dettagli personali, i truffatori possono usarli per commettere reati, ad esempio frodi finanziarie o furto di identità.
Come funziona il Phishing?
Gli attacchi di phishing sfruttano le debolezze umane. Utilizzano la manipolazione della mente delle vittime per ottenere informazioni private. Gli scammer di solito impiegano una combinazione di metodi, tra cui frodi via email, ingegneria sociale e malware, per condurre i loro attacchi di phishing.
Manipolazione degli indirizzi email
La manipolazione degli indirizzi email è una tecnica estremamente popolare utilizzata nelle truffe che coinvolgono il phishing. Gli scammer sono in grado di creare indirizzi email falsi che sembrano autentici, come quelli di un’istituzione o di un sito di social media. Le email includono di solito un link che porterà l’utente a una pagina web falsa simile a quella autentica. Quando l’utente effettua l’accesso, gli verrà concessa l’accesso all’account.
Ingegneria Sociale
L’ingegneria sociale è una tattica diversa utilizzata nelle truffe di phishing. Gli scammer si fingono persone autentiche come qualcuno che conosci per guadagnare la fiducia del loro obiettivo. Potrebbero chiedere alla vittima di fare clic su un collegamento ipertestuale o di scaricare un file allegato che potrebbe infettare il loro computer con malware, o inviarli a una pagina web falsa che chiede agli utenti di inserire le loro informazioni personali.
Software dannoso (Malware)
Gli attacchi di phishing possono anche coinvolgere l’uso di malware che include keylogger o ransomware. I keylogger sono programmi che tracciano le battute di tasti dell’utente, comprese le loro credenziali di accesso, mentre il ransomware blocca i dati della vittima e richiede un pagamento per recuperare i dati.
- Truffa di Phishing con Google Docs Nel 2017 una grande truffa basata sul phishing ha preso di mira gli utenti di Gmail. È stata utilizzata un’invito non autentico a Google Docs per ingannare gli utenti e ottenere l’accesso al loro account Gmail. L’email che era un phishing è stata inviata da un contatto identificato. Includeva un collegamento a un documento di Google Docs che veniva chiesto all’utente di esaminare. Cliccando sul link, l’utente veniva reindirizzato a una falsa pagina di accesso di Google, dove venivano raccolte la password e l’indirizzo email dell’utente. La truffa ha colpito milioni di utenti prima che Google riuscisse a fermare la truffa.
- Truffa di Phishing su Netflix Nel 2018 è stata scoperta una truffa di phishing che ha preso di mira gli utenti di Netflix. La truffa si basava sull’invio di un’email che sembrava provenire da Netflix e che chiedeva agli utenti di modificare le informazioni di pagamento. L’email includeva un collegamento ipertestuale a una falsa pagina di accesso a Netflix, dove agli utenti veniva chiesto di inserire i dettagli del loro account. La truffa è riuscita a ingannare molte persone facendo loro fornire i dettagli di accesso e le informazioni della carta di credito.
- Truffa IRS – Nel 2016, una truffa di phishing ha preso di mira i contribuenti negli Stati Uniti, utilizzando un’email falsa che sembrava provenire direttamente dall’IRS. L’email conteneva un collegamento a un falso sito web dell’IRS, che chiedeva agli utenti di fornire il loro numero di previdenza sociale e altri dettagli personali. La truffa è riuscita a ingannare molte persone facendole fornire dettagli riservati e l’IRS è stato costretto a emettere un avviso ai contribuenti affinché fossero vigili rispetto a truffe di questo tipo.
- Truffa di Phishing su Apple Nel 2020, una truffa mirata agli utenti Apple ha utilizzato email false che sembravano provenire direttamente da Apple Support. L’email avvisava gli utenti che era stato notificato che il loro ID Apple era stato compromesso. L’email includeva anche il collegamento a una falsa pagina di accesso ad Apple, dove all’utente veniva chiesto di inserire il suo numero di account e la password Apple. La truffa è riuscita a far sì che molti utenti fornissero l’accesso alle loro credenziali di accesso che avrebbero potuto successivamente essere utilizzate per accedere agli account Apple e alle informazioni personali.
- Truffe di Phishing legate a COVID-19 Durante l’epidemia di COVID-19, numerose truffe basate sul phishing si sono concentrate sulle paure e le preoccupazioni delle persone riguardo alla malattia. Ad esempio, gli scammer hanno inviato messaggi che sembravano provenire dall’Organizzazione Mondiale della Sanità, chiedendo donazioni o fornendo dettagli riguardanti il virus. Quando gli utenti facevano clic sui collegamenti nelle email, venivano indirizzati a siti web fraudolenti dove venivano raccolti i dettagli personali delle vittime. Questi tipi di truffe continuano a rappresentare una fonte di preoccupazione mentre l’epidemia continua.
- Truffa di Phishing su Amazon In questa truffa di phishing, un criminale invia un’email che sembra provenire da Amazon per informare la vittima di un problema con l’account, come un pagamento non risolto o attività sospette. L’email contiene anche un collegamento che indirizza l’utente a una finta schermata di accesso all’account Amazon, dove gli viene chiesto di inserire le sue credenziali di accesso. Una volta che l’attaccante ottiene accesso all’account dell’utente, può acquistare articoli fraudolenti o addirittura rubare informazioni private.
- Truffa di Phishing bancario Durante una truffa, il perpetratore invia un’email alla vittima che sembra provenire dalla banca della vittima, avvisandola dell’esistenza di un problema nel suo account o di una violazione della sicurezza. L’email contiene un collegamento che porta la vittima a una falsa pagina di accesso che le chiede di inserire le sue credenziali di accesso. Una volta che l’attaccante riesce ad accedere all’account dell’utente, può effettuare transazioni fraudolente o addirittura rubare informazioni private.
- Truffa di Phishing su PayPal La truffa su PayPal coinvolge l’invio di un’email che sembra provenire da PayPal e informa gli utenti di un problema nel loro account, ad esempio una transazione non autorizzata o un problema di sicurezza. L’email contiene un collegamento che porta l’utente a una falsa schermata di accesso all’account PayPal, dove gli viene chiesto di inserire le sue credenziali di accesso. Una volta che l’attaccante ottiene accesso all’account, può utilizzarlo per effettuare transazioni fraudolente o rubare informazioni private.
- La Truffa di Phishing sui Social Media In una truffa di phishing sui social media, un attaccante invierà un’email o un messaggio che sembra provenire da un amico o un contatto attraverso un sito di social media come Facebook e LinkedIn. Il post o il messaggio contiene un collegamento che porterà l’utente a una schermata di accesso autentica che gli chiederà di inserire le credenziali del proprio account di social media. Una volta che l’attaccante riesce ad accedere all’account dell’utente, può pubblicare collegamenti dannosi o spam oppure accedere a informazioni personali.
- La Truffa di Phishing per i Rivenditori Online Una truffa che coinvolge il phishing prevede l’invio di un’email che sembra provenire da un noto rivenditore online, come Walmart o Target, che informa l’utente di un problema con il suo acquisto o offre un’offerta speciale. L’email contiene un collegamento che porta il cliente a pagine di accesso finte, che gli chiedono di inserire le sue credenziali di accesso. Una volta che l’attaccante ottiene accesso all’account dell’utente e riesce ad accedervi, può effettuare acquisti fraudolenti o rubare persino dati personali.
Alcuni esempi di truffe di Phishing
Tipi di Truffe di Phishing
Truffe di Phishing tramite Email
Le truffe tramite email sono tra le forme più frequenti di truffe di phishing. In questo tipo di truffa, gli imbroglioni inviano email che sembrano provenire da una fonte legittima, come la banca o una piattaforma di social media. Le email di solito contengono collegamenti ipertestuali che portano il destinatario a un sito falso identico a quello autentico. Dopo che l’utente ha effettuato l’accesso e cliccato sul collegamento, gli scammer ottengono l’accesso all’account. Ad esempio, un truffatore potrebbe inviare un’email dicendo che è stata rilevata un’attività sospetta sull’account della vittima e chiedere di cliccare su un collegamento per confermare i dettagli dell’account.
Truffe Spear Phishing
Il Spear Phishing è un tipo mirato di attacco di phishing. Gli scammer sono in grado di studiare i loro obiettivi e creare quindi un messaggio personalizzato che sembra provenire da una fonte affidabile, ad esempio un collega o un dirigente. Il messaggio probabilmente includerà informazioni specifiche dell’individuo preso di mira, come il nome del suo lavoro o progetti recenti. Ad esempio, un truffatore potrebbe inviare un messaggio email a un dipendente del dipartimento contabile, fingendo di essere il loro responsabile e chiedendo il trasferimento di fondi su un conto specifico.
Truffe Smishing
Lo Smishing è un tipo di truffa di phishing che utilizza messaggi di testo o SMS al posto dell’email. In questo tipo di truffa, gli scammer inviano un messaggio SMS che sembra provenire da una fonte legittima, come un’agenzia o una banca. Il messaggio di testo contiene di solito un indirizzo o un numero di telefono al quale la persona presa di mira è istruita a chiamare. Quando la vittima risponde o avvia il contatto, potrebbe essere richiesta di fornire dati sensibili, come le credenziali di accesso del proprio account e le informazioni della carta di credito. Ad esempio, un truffatore potrebbe inviare un messaggio SMS alla vittima affermando che il suo account presso la banca è compromesso e chiedere alla vittima di comporre un numero specifico per risolvere il problema.
Frode CEO
La frode CEO è un tipo di truffa di phishing che prende di mira le aziende. In questa truffa, i criminali si fingono un alto dirigente come il CEO e inviano ai dipendenti un’email chiedendo loro di trasferire denaro su un conto specifico. Le email di solito contengono un linguaggio urgente e potrebbero anche istruire i dipendenti a mantenere l’anonimato sulla richiesta. Ad esempio, un truffatore potrebbe inviare un’email a un dipendente del dipartimento finanziario fingendo di essere il CEO e chiedere al dipendente di trasferire fondi per un progetto urgente.
Truffe che coinvolgono Pharming
Il Pharming è una forma di truffa di phishing in cui il perpetratore reindirizza la vittima a un sito falso senza il suo consenso. Lo scammer infetta il computer della vittima con malware che altera le impostazioni DNS del computer. Se la vittima cerca di connettersi a un sito legittimo, come il sito web della banca, viene invece reindirizzata a un sito web falso identico a quello legittimo. Dopo che l’utente inserisce le proprie credenziali di accesso, gli scammer ottengono accesso al suo conto bancario. Ad esempio, uno scammer potrebbe infettare il computer della vittima con malware e reindirizzare gli utenti a un sito falso per ottenere accesso al loro account bancario online.
Come Proteggersi dalle Truffe di Phishing
- 🔴 State attenti ai messaggi nei messaggi di testo che vi chiedono di cliccare sul link o fornire informazioni private. Confermate sempre l’origine del messaggio prima di rispondere.
- 🔴 Assicuratevi di conoscere l’URL del sito a cui siete diretti. Gli scammer creano spesso siti web falsi utilizzando URL che assomigliano a quelli legittimi. Fate attenzione a errori di ortografia o anche a lievi modifiche nell’indirizzo.
- 🔴 Utilizzate l’autenticazione a due fattori quando possibile. Questo fornisce un ulteriore livello di sicurezza per i vostri account e aiuta a prevenire l’accesso non autorizzato.
- 🔴 Assicuratevi che il vostro sistema operativo e il software siano aggiornati. Questo può proteggere il vostro account e il computer da attacchi informatici, malware e altre minacce.
- 🔴 Informatevi e informate i vostri dipendenti sulle truffe che coinvolgono il phishing. Assicuratevi che tutti nella vostra azienda siano consapevoli dei pericoli e siano in grado di individuare messaggi sospetti.
Come Evitare le Email di Phishing?
Fate attenzione alle email di phishing. Può essere difficile, ma ci sono modi per garantire la vostra sicurezza. Ecco alcuni suggerimenti per aiutarvi a evitare di cadere vittima di truffe che utilizzano il phishing per rubare le vostre informazioni:
- ✔️Fate attenzione alle email sospette o non richieste: State attenti alle email inviate da mittenti sconosciuti o email con informazioni insolite o sospette, come annunci che sembrano troppo allettanti per essere veri o richieste di dati personali.
- ✔️ Controllate l’indirizzo della persona che lo invia: Confermate sempre l’indirizzo email del mittente per assicurarvi che corrisponda al dominio dell’organizzazione che dice di rappresentare. Se sospettate che l’email sia sospetta o non provenga da un mittente conosciuto, evitate di cliccare su allegati o collegamenti.
- ✔️ Esaminate i collegamenti ipertestuali: Fate attenzione a fare clic su collegamenti che puntano a siti web sconosciuti o sospetti, poiché potrebbero essere siti web falsi.
- ✔️ Controllate errori di grammatica e ortografia: Le email di phishing di solito contengono errori grammaticali o di ortografia o frasi incoerenti. Le email autentiche da aziende affidabili sono generalmente scritte bene e prive di errori.
- ✔️ Non inserite dettagli personali: Non fornite alcuna informazione sensibile o personale, come credenziali di accesso, numeri di previdenza sociale o numeri di carta di credito, rispondendo alle email. Le aziende legittime non chiederanno mai queste informazioni tramite email.
- ✔️ Utilizzo dell’autenticazione a due fattori: L’autenticazione a due fattori può proteggere il vostro account dall’accesso da parte di persone non autorizzate. Dovreste considerare l’attivazione di questa funzione su qualsiasi account online che la supporti.
- ✔️ Assicuratevi che il vostro software sia aggiornato: Dovreste assicurarvi che il sistema operativo, il software antivirus e il browser web siano aggiornati con le patch più recenti e gli aggiornamenti di sicurezza.
- ✔️ Informatevi: Informatevi sulle metodologie di phishing più comuni e tenetevi aggiornati sulle minacce più recenti. Essere consapevoli delle truffe che coinvolgono il phishing vi aiuterà a riconoscerle e a evitarle.
Se seguite queste linee guida e siate cauti nel ricevere e rispondere ai messaggi, vi proteggerete dalle truffe che coinvolgono il phishing. Se avete dubbi sulla provenienza di una email, è meglio essere cauti e evitare di cliccare su qualsiasi collegamento o inserire informazioni personali.
Conclusione
Il phishing è una preoccupazione importante nell’era digitale odierna. Gli scammer utilizzano una varietà di metodi per ingannare persone e aziende a divulgare informazioni private. Comprendendo la natura delle truffe di phishing e come individuare queste minacce, potete proteggere la vostra azienda e voi stessi da possibili pericoli. Fate attenzione alle email non richieste e verificate l’origine di qualsiasi richiesta di informazioni sensibili. Siate vigili e restate al sicuro.
User Review
( votes)Inglese Tedesco Giapponese Spagnolo Portoghese, Brasile Francese Turco Cinese tradizionale Coreano Indonesiano Hindi