Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

CONSIGLI PRATICI

Attacchi phishing: consigli pratici per riconoscerli e stare alla larga dalle truffe online

Gli attacchi phishing continuano ad essere i preferiti dai criminal hacker, soprattutto perché l’e-mail continua ad essere il mezzo di comunicazione più utilizzato dagli utenti. Ecco i consigli pratici per non cadere nella trappola delle truffe online

31 Gen 2020
D
Vittorio D'Aversa

Consulente informatico forense


Sono oltre 3,8 miliardi gli utenti di posta elettronica in tutto il mondo (così come risulta da uno studio condotto da The Radicati Group2 secondo cui si potranno superare i 4,1 miliardi nel 2021) ed è per questo che gli attacchi phishing continuano ad essere i preferiti dai criminal hacker.

Secondo la relazione presentata alla 24° edizione del Microsoft Security Intelligence Report (SIR), il phishing nel 2018 è aumentato del 250%.

L’esperienza quotidiana, d’altronde, ci dice che spesso non riusciamo a leggere tutte le e-mail che ci arrivano. Tante pubblicità, tanto spam e tante fake (news), che con un po’ di dimestichezza si riesce a catalogare e scartare all’occorrenza.

Ci sono, però, quelle e-mail che ci risultano a prima vista importanti o interessanti, in particolare quelle provenienti da banche, poste, assicurazioni, Agenzia delle Entrate, Inps e tanti altri Enti della Pubblica Amministrazione.

Attacchi phishing: come funzionano

Per tanti di questi messaggi, la rappresentazione grafica è talmente familiare che spesso si cade nel tranello della loro falsificazione, se si è un po’ distratti o superficiali.

È il primo punto di forza del phishing: un fenomeno di truffa informatica che consiste nel sottrarre i dati di autenticazione (principalmente nome e password) facendoli inserire all’utente stesso in una pagina falsa di un servizio che il destinatario usa realmente.

Il termine phishing, infatti, è una variante di fishing (letteralmente “pescare” in lingua inglese) e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari, personali, e password di un utente.

Abboccando alle richieste contenute nell’e-mail si consegnano a siti fraudolenti i propri contatti, l’accesso ai profili digitali e, nel peggiore dei casi, le chiavi d’accesso ai propri conti bancari.

Attacchi phishing: riconoscere le e-mail sospette

Le e-mail rappresentano senz’altro il vettore principale utilizzato dai criminal hacker per condurre i loro attacchi phishing. Per fortuna, con un minimo di attenzione è abbastanza semplice riconoscere le e-mail sospette. Si tratta quasi sempre di messaggi di posta elettronica, o SMS, che riportano un logo contraffatto e invitano il destinatario ad una specifica pagina web per fornire dati riservati, come per esempio il numero di carta di credito o le credenziali di accesso.

Pagine web che somigliano in modo quasi perfetto a quelle vere, tanto da spingere l’utente a cliccare senza esitazione sui link opportunamente posizionati.

Gli hacker sono diventati molto esperti e utilizzano metodi sempre più difficili da smascherare, perché tanto più difficili da riconoscere.

Se riteniamo sospetta un’e-mail ricevuta, controlliamo che l’indirizzo appartenga realmente alla persona da cui sostiene di provenire; ad esempio: se il mittente è Apple, ma l’indirizzo e-mail è XXY@135-apple.com è il caso di stare attenti.

Qualora incautamente dovessimo cliccare su un link, controlliamo bene nella barra del browser di non essere finiti su un indirizzo sospetto.

Anche se simili dal punto di vista grafico alle pagine web originali, spesso il nome del sito presenta minime differenze nell’indirizzo rispetto a quello autentico.

La truffa degli indirizzi sosia

Siti come paypall.com invece di paypal.com, oppure g00gle.com anziché google.com hanno minime differenze nell’indirizzo rispetto a quelli autentici. Sono usati per ingannare gli utenti a cui sfugge la lettera diversa, ritrovandosi a inserire le proprie credenziali di accesso online, che vengono di conseguenza rubate.

WHITEPAPER
I Servizi Gestiti possono essere un’attività estremamente redditizia. Quali gli strumenti utili?

Una buona notizia c’è, se si usa il browser Google Chrome. Presto ci si potrà difendere, quasi automaticamente, da queste frodi informatiche grazie a un nuovo strumento. Un’estensione per il browser Chrome che smaschera gli indirizzi sosia.

Si chiama Suspicious Site Reporter e si abilita aggiungendo l’estensione al browser dal web store di Google Chrome.

Viene evidenziata la funzione corrispondente e basta attivarla. Bisogna riavviare il browser per fare in modo che entri in funzione. Quello che fa è banale, ma molto utile: nel momento in cui si cerca di accedere a un sito con un indirizzo “sosia”, ci chiederà se siamo proprio sicuri di volerlo fare.

A questo punto, anche l’utente più distratto andrebbe a leggere bene l’URL, smascherando l’inganno.

Attacchi phishing mirati

I destinatari delle e-mail sono scelti in modo abbastanza accurato. Di solito vengono colpiti gli utenti che generalmente hanno rapporti reali con i veri mittenti.

Il caso di Adobe, per esempio, è emblematico. Un database non protetto, contenente i dati di 7,5 milioni di utenti della suite Adobe Creative Cloud, è rimasto online per circa una settimana. I dati delle carte di credito sono rimasti al sicuro, ma le mail e altre informazioni sono state accessibili.

Adobe ha allertato gli utenti che avrebbero potuto essere soggetti a mail di phishing mirato contro gli abbonati. “I truffatori potrebbero fingersi dipendenti di Adobe o di una società collegata e indurre gli utenti a consegnare ulteriori informazioni, come le password”.

Facendo un po’ di attenzione, si può notare (è evidenziato nell’immagine) come vi siano almeno due anomalie: il lessico non corretto “riavviare” e l’errore grammaticale “il informazioni”.

È fondamentale leggere bene il testo delle e-mail che si ricevono e ricercare forme di linguaggio scorrette e/o errori grammaticali.

Il caso INAIL. L’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul lavoro ha denunciato una nuova campagna di phishing che starebbe impiegando il suo nome “per richieste di pagamento fraudolente”. L’INAIL spiega che alcuni cittadini stanno ricevendo finte mail che “simulano lo stile dei messaggi di posta elettronica certificata dell’Istituto e contengono un file pdf che riproduce la carta intestata e il formato degli avvisi bonari inviati agli utenti, accompagnato dall’invito a effettuare un versamento tramite IBAN”.

Le e-mail fasulle mostrano come oggetto “Trasmissione Atti INAIL…” e l’allegato PDF che riproduce la carta intestata indica un IBAN che non appartiene all’ente. Si tratta quindi di una truffa. INAIL ha ricordato infatti che la procedura normalmente impiegata per questo tipo di comunicazioni avviene tramite PEC provenienti dal dominio “postacert.inail.it” e, come tutte le PEC, sono corredate dal certificato che identifica la firma digitale del gestore.

Il caso INPS. Anche l’INPS è protagonista, senza alcuna responsabilità, di una campagna phishing che tenta con l’inganno di sottrarre informazioni sensibili ai cittadini. Si sono verificati tentativi fraudolenti di richiesta di dati attraverso invio di e-mail o telefonate.

In particolare, INPS segnala che alcuni utenti hanno ricevuto un’e-mail contenente l’invito ad aggiornare le proprie coordinate bancarie affinché l’Istituto potesse procedere con l’accredito di un fantomatico bonifico. E, come se non bastasse, pare che vengano effettuate chiamate da finti operatori telefonici INPS che domandano “dati relativi alla propria posizione nell’ambito di soggetti di diritto privato, come società o associazioni”.

L’invito quindi è di non dar seguito a nessuna richiesta pervenuta tramite mail ordinaria, telefono o porta a porta.

Il caso Poste Italiane. Uno dei casi di phishing più noti in Italia è quello che ha riguardato Poste Italiane. Si è diffuso sia via SMS sia via e-mail, con lo scopo di sottrarre agli utenti i numeri delle carte di credito e i dati di accesso ai conti correnti.

I messaggi dietro i quali si nascondeva questa frode erano molteplici: in alcune e-mail si comunicava alle vittime che stava per essere disattivato il conto corrente, in altre che c’era un accredito in sospeso oppure era in corso la manutenzione delle misure di sicurezza.

In ogni caso si richiedeva di inserire i propri dati, numeri delle carte di credito e codici di accesso a conti online.

Il caso Unicredit. Gli enti più ambiti dai criminal hacker, però, sono le banche. In questi casi gli utenti hanno ricevuto una e-mail, con tanto di logo, in cui veniva chiesto di inserire i propri dati per evitare la sospensione del conto corrente. L’e-mail sollecitava inoltre l’utente ad agire con urgenza per evitare sanzioni economiche.

Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati relativo a un file generato nel 2015. Questo file conteneva circa 3 milioni di record, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. In una nota della banca si legge che nell’accesso non autorizzato a file Unicredit “non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate”.

UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia. Contestualmente ha contattato, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate.

Casi come questi ce ne sono ancora tanti in rete e si susseguono quotidianamente. Per evitare sorprese, è bene ricordare che una banca non ti chiederà mai di fornire via mail le credenziali.

Canali di attacco

Non esiste un solo tipo di attacco di phishing, oltre ai messaggi possono essere diverse anche le piattaforme e i canali utilizzati.

Il phishing informatico, è quello trattato fino ad ora, ed è il caso “classico”. Attraverso una normale email, sotto forma di messaggio spam che sembra provenire da aziende, siti autorevoli o addirittura da enti pubblici, si cerca di entrare in possesso dei dati sensibili dell’utente.

Questa è la tecnica più diffusa per portare a termine un attacco di phishing, ma ne esistono altre, meno frequenti ma pur sempre efficaci. Ad esempio, lo spear phishing, realizzato mediante l’invio di email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è ottenere l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato, o militari.

Il phishing via WhatsApp e Facebook è una evoluzione inevitabile, data la popolarità dei social network: anche WhatsApp e Facebook sono diventati un terreno fertile per tentativi di phishing, meglio non fidarsi dei messaggi sospetti che circolano nelle chat.

I più comuni si nascondono dietro a finti buoni sconto per il supermercato, abbonamenti per poter continuare utilizzare la stessa applicazione di WhatsApp o usufruire di servizi premium. Rispetto a quelle via e-mail, queste truffe possono trarre in inganno con più facilità, perché condivise nelle chat di conoscenti, amici e persone fidate. Aprendo i link fasulli, il cellulare può essere infettato da un virus che inoltra il link compromesso a tutti i contatti.

Il phishing telefonico o via SMS (conosciuti, rispettivamente, anche con i nomi di vishing e smishing) utilizza un canale forse più diretto, si ricevono chiamate o SMS da numeri sconosciuti che chiamano per conto di un’azienda formulando la richiesta di fornire dei dati. Anche se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.

I consigli per difendersi dagli attacchi phishing

Il consiglio più banale è di non fornire informazioni sensibili al telefono, e non fidarsi mai di mail ordinarie che contengono link. Meglio controllare i propri account direttamente sui siti ufficiali.

E poi seguire alcune semplici precauzioni così riassunte:

  • occhio agli errori. Nei casi di phishing più grossolano, le e-mail contengono errori ortografici, o piccole storpiature nel nome del presunto mittente. In ogni caso il reale indirizzo da cui provengono queste e-mail è differente da quello ufficiale.
  • non credere alle urgenze. È uno dei fattori sui quali il phishing fa maggiormente leva: un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve o il rischio di perdere un account se non si paga subito. Quando un’e-mail ti mette fretta, il rischio che sia una truffa è alto.
  • attenzione agli allegati. Quando sono presenti allegati con estensione dei file inusuale, o non previsti, è bene prestare molta attenzione. In questo caso, oltre al semplice phishing, potrebbero nascondersi virus dietro quei file.
  • nessuno regala niente. Le e-mail che annunciano vincite di denaro, o qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come un campanello d’allarme.
WEBINAR
Home Working come attrezzarsi sul piano tecnologico con una soluzione VDI
Cloud
Virtualizzazione

Nonostante tutto, perché il vecchio trucco del phishing resiste alle tecnologie anti-phishing? Perché qualunque tecnologia non può sopperire in modo completo alle incompetenze umane.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4