
Phishing, la guida per capire cos’è e come riconoscerlo!
8 Luglio 2021
Il phishing è una delle forme più semplici di attacco informatico da eseguire per i criminali del web e una delle più facili per farli “innamorare” del mestiere.
Questa pratica permette agli hacker di ottenere tutto ciò di cui hanno bisogno per saccheggiare dati sensibili provenienti da account personali e/o lavorativi.
La truffa, negli anni si è diffusa e,oltre alle classiche e-mail sospette, i criminali informatici sono arrivati a intaccare le telefonate e i cosiddetti servizi di messaggistica sui Social Network.
Il termine phishing, con ph come prefisso, è stato costruito partendo dalla parola to fish (pescare) poiché, i criminali penzolano un’esca falsa tramite un’e-mail dall’aspetto legittimo, un sito web, un SMS o un annuncio, sperando che gli utenti abbocchino fornendo le informazioni che i pirati informatici abbiano richiesto, come i numeri della carta di credito, i numeri di conto, password, nomi utente e altre informazioni delicate.
Come viene svolta questa pratica?
Il Phishing di solito viene eseguito includendo un link all’interno di messaggi che sembrano in maniera precisa condurre al sito Web di un’azienda per compilare le proprie informazioni.
Ma ATTENZIONE il link di rimando porta a un sito web chiamato “falso intelligente” e i dati che vengono forniti vanno direttamente nelle mani dei criminali.
Il Phishing risale al secolo scorso, eppure, con il progredire delle tecnologie digitali, questa tecnica continua a trovare nuovi modi per sfruttare le vulnerabilità di tutti noi.
Quali sono le tecniche più comuni?
Ecco alcune delle tecniche di phishing più comuni al giorno d’oggi:
- Phishing e-mail standard: probabilmente la forma più conosciuta di
Questo attacco è un tentativo di rubare informazioni sensibili tramite un’e-mail che sembri provenire da un’organizzazione legittima. Non è un attacco mirato e può essere condotto tramite il phishing malware di massa. Attualmente è la forma più pervasiva di attacco di phishing, in quanto può non solo compromettere alcune delle proprie informazioni, ma l’intero computer.

Nell’esempio una mail ingannevole, basti guardare l’indirizzo del mittente, non si presenta come un indirizzo mail ufficiale. Prestate attenzione e non cliccate mai sui link!
- SMS Smishing:offre agli utenti di smartphone, collegamenti brevi e dannosi, spesso mascherati da avvisi di account, notifiche a premi e messaggi politici. Tramite questa forma di attacco criminale, vengono lanciati messaggi ingannevoli che per essere risolti necessitano di essere supportati da tecnici.

Nell’esempio un SMS di Smishing. Non rispondete mai a questa tipologia di messaggi.
Esempio dimostrativo
Immaginate di ricevere un’e-mail da Amazon che afferma che il vostro account è stato bloccato.
Controllate l’e-mail e notate che il messaggio non è indirizzato al vostro indirizzo e-mail. L’intestazione è poi, Caro cliente invece del vostro nome e cognome. Il messaggio presenta inoltre, un’etichetta che include del testo come: azione di blocco/hai superato il numero di tentativi consentiti. L’e-mail cerca infine, di rassicurarvi incoraggiandovi a confermare determinate informazioni usando il link che viene fornito.
Tutti questi elementi sono segnali di avvertimento che l’e-mail ricevuta sia assolutamente una truffa.
Spieghiamoci meglio, se foste davvero stati informati da Amazon per un problema con il vostro account, l’azienda stessa conoscerebbe il vostro nome e la vostra e-mail. Inoltre, è necessario ricordare, se nell’ultimo periodo siano stati effettuati tentativi di accesso al proprio account/cambiamenti di password. Se la risposta è negativa, le informazioni che affermano che siano stati superati il numero di tentativi consentiti sono false.
Eppure, è qui che la maggior parte delle persone abbocca all’esca della truffa, in quanto, ci si inizia a chiedere: “magari qualcuno vuole entrare nel mio account e vuole fare acquisti con la mia carta di credito”. Nasce dunque, il bisogno di cambiare la propria password. Perfetto, a questo punto recatevi direttamente alla pagina web. Qui potrete davvero vedere se le persone abbiano tentato di accedere al vostro account e potrete cambiare la password. Ma non cliccate per nessun motivo il link presente nella mail di Phishing.
Prevenire è meglio che curare
Al giorno d’oggi, è importante essere consapevoli del fatto che se un messaggio chiede informazioni sensibili, è indispensabile essere sicuri di potersi fidare di esso.
Leggere attentamente il messaggio è un ottimo modo per individuare segnali di avvertimento ed evitare di essere truffati diventando, pertanto, uno squalo e non un piccolo pesciolino rosso indifeso.
Ecco alcune dritte da seguire per evitare di cadere in queste trappole:
- Numero uno: non cliccate su quel link. Il minimo indispensabile che dovreste fare è passare il mouse sul link per vedere se la destinazione è quella corretta. Alcuni attacchi di phishing sono piuttosto sofisticati e l’URL di destinazione può sembrare una copia carbone del sito originale. Dunque, se è possibile recatevi direttamente sul sito attraverso il proprio motore di ricerca, piuttosto che fare clic sul link.
- Numero due: la maggior parte dei browser al giorno d’oggi vi consentirà di scaricare componenti aggiuntivi che individuano i segni di un sito Web dannoso o vi avvisano dei siti di phishing noti, di solito sono completamente gratuiti, quindi non c’è motivo di non installare questo su tutti i dispositivi della vostra organizzazione.
- Numero tre. non fornite le vostre informazioni a un sito non protetto. Se l’URL del sito Web, non inizia con HTTPS o non è possibile visualizzare un’icona a lucchetto chiusa accanto all’URL, non inserite informazioni riservate o scaricate file da quel sito. I siti senza certificati di sicurezza potrebbero non essere destinati a truffe di phishing, ma è meglio essere sicuri che dispiaciuti.
- Numero quattro: cambiate regolarmente le password. Se possedete account online, dovreste prendere l’abitudine di ruotare regolarmente la password in modo da impedire a un utente malintenzionato di ottenere un accesso illimitato. I vostri account inoltre, potrebbero essere stati compromessi a vostra insaputa, quindi aggiungere quel livello aggiuntivo di protezione attraverso la modifica delle password può prevenire attacchi in corso e bloccare potenziali aggressori.
- Numero cinque: non ignorate gli aggiornamenti. Ricevere numerosi messaggi di aggiornamento può essere frustrante e può essere allettante procrastinarli o ignorarli del tutto. Ma attenzione, se non aggiornate il vostro browser, potreste essere a rischio di attacchi di phishing attraverso vulnerabilità note che avrebbero potuto essere facilmente evitate.
- Numero sei: non fornite informazioni importanti a meno che non siate obbligati. Come regola generale, a meno che non vi fidiate al 100% del sito in cui vi trovate, non dovreste fornire i vostri dati sensibili. Per esempio, ogni volta che inserite la vostra carta di credito in un sito di e-commerce, dopo aver completato l’acquisto, rimuovete i dati.
Scopri il nostro AUDIT NIST 1-100 per poter tracciare una strada che aumenti la Cybersecurity della tua Azienda.
Non ti senti sicuro online? Non perderti il nostro corso dedicato alla Cybersecurity. Formare i tuoi dipendenti potrebbe fare la differenza!
- Erika mastromatteo -