Sicuramente vi sarà capitato di ricevere messaggi in cui vi annunciavano: “Hai vinto un milione di euro” o “Il tuo account risulta bloccato”. Ecco! Anche la tua email è stata inserita nei sistemi di truffa più utilizzati. Lo scopo di chi diffonde queste false email è quello di persuadere il destinatario a cliccare sul link contenuto nella stessa portandolo ad un sito internet “infetto” che chiederà di inserire le informazioni personali: email, password e conti bancari.
Come proteggersi?
1. CONTROLLARE SEMPRE LA PROVENIENZA DELLE EMAIL
Prima di rispondere ad un’email ricevuta o seguire le indicazioni che vengono fornite, è necessario capire se si tratta di phishing o meno. Ecco alcuni esempi di email sicuramente pericolose:
– L’oggetto dell’email risulta alquanto “commovente”. Temi che possono attirare l’attenzione di molta gente sensibile che viene invogliata a trasferire denaro verso conti bancari. Gli hacker sono bravi a giocare con l’emotività degli utenti.
– Oggetto contente messaggi come “Ultimo avviso” o “Mancano ancora pochi giorni”.
– Errori di grammatica e caratteri strani all’interno del testo.
– Indirizzo email del mittente palesemente falso.
– Link presenti all’interno delle email che puntano a URL strani e non attinenti allo scopo dichiarato nella email
2. APP DI MESSAGGISTICA: CONTATTI NON DESIDERATI
Non solo le email possono contenere “polpette avvelenate” ma anche i messaggi ricevuti tramite app di messaggistica a volte traggono in inganno. Per questi applicativi vale lo stesso principio utilizzato per le email a cui va aggiunto sicuramente anche la cancellazione immediata di soggetti sconosciuti che vi contattano o vi mettono direttamente all’interno di gruppi di cui non conoscete nessuno. Questo permetterebbe ai cyber-criminali di rubare i dati presenti nel tuo cellulare.
3. CONTO BANCARIO: PENSACI PRIMA DI INSERIRE I TUOI DATI
Stesso principio vale per l’inserimento dei dati della carta di credito o di altri dati di accesso agli home banking. Fate sempre molta attenzione ai siti in cui state navigando perché i dati sensibili forniti possono essere acquisiti dagli hacker in modo da permettergli di entrare nei tuoi conti correnti e rubarti tutto. Anche qui, controllare sempre che l’indirizzo email non abbia errori di battitura, numeri in sostituzione di lettere, domini con nomi strani.
4. PASSWORD DIVERSE PER OGNI ACCOUNT
È fondamentale usare una password diversa per ogni account così da evitare che un sito di phishing possa compromettere tutti gli altri account. Esistono differenti applicativi “password manager” che aiutano a gestire ed usare le password personali.
5. AUTENTICAZIONE A DUE FATTORI
Fidarsi solo dei siti che utilizzano l’autenticazione a due fattori. Ormai tutte le banche e tutti i sistemi di sicurezza, compresi molti sistemi di gestione della posta elettronica, utilizzano questo tipo di autenticazione. Oltre alle OTP generate dai token, che possono essere aggirati in un sistema corrotto, le banche utilizzano spesso l’invio delle email o degli SMS per trasmettere un numero univoco da utilizzare per l’accesso. Se non si riceve questo SMS è probabile che il sito in cui abbiamo inserito i dati non è quello originale ma, anche se possiamo non preoccuparci perché per l’accesso l’hacker non avrà a disposizione l’SMS che verrà inviato a noi, conviene sempre cambiare subito la password.
6. PROTEZIONE AFFIDABILE
Il phishing è difficile da gestire attraverso le semplici protezioni che possono darci gli antivirus e/o i sistemi antispam. Quello che deve spingerci a non fidarci è legato alla nostra esperienza, oltre ad un po’ di buon senso che non deve mancare mai in questi casi. Per questo motivo Sophos, leader mondiale nella cyber security, per garantire la sicurezza a 360 gradi, ha pensato di offrire ai propri clienti la possibilità di avere uno strumento – Phish Threat – per educare e mettere alla prova gli utenti finali con l’uso di simulazioni di attacco di phishing e corsi di formazione per far acquisire maggiore consapevolezza nell’uso delle email oltre a produrre pratici dati di reportistica che permettono al reparto IT di capire come agire per far aumentare nella propria azienda il grado culturale in materia di sicurezza informatica.
