È uno dei metodi più comuni per effettuare frodi online, ingannare le vittime per sottrarre informazioni personali come password, indirizzi email, account bancari e credenziali. Stiamo parlando del Phishing e di norma avviene o sotto forma di email o sito dove le vittime immettono i loro dati personali con la certezza che siano fonti sicure e legittime, o attraverso un malware nel dispositivo che potenzialmente raccoglie i dati delle vittime col passare del tempo.
Per quanto sia protetta la nostra rete da antivirus, firewall e software dedicati, tenersi costantemente informati rimane la migliore difesa.
In un test effettuato da Intel, il 97% degli utenti ha fallito ad identificare 10 su 10 email di phishing
Alcuni recenti casi esemplari di phishing:
Maggio 2017 – uno dei più pesanti attacchi di phishing con obiettivo gli utenti di Gmail e in particolare Google Docs.
Gennaio 2016 – è stata colpita la Etna Industrie, storica azienda francese. I truffatori hanno inviato email apparentemente inviate dal CEO della società in cui veniva chiesto di effettuare con la massima urgenza un pagamento di 100mila euro.
Febbraio 2016 – Snapchat. Anche in questo caso i criminali hanno impersonato il CEO Eva Spiegel, raggirando un impiegato a condividere i dati dei libri paga della società
Giugno 2016 – ripetuto furto delle email di alcune figure prominenti del Comitato Nazionale Democratico ha creato una nuova voce per i vocabolari di informatica: DNCLeaks. Insieme ad altri furti di dati, la diffusione di tali email avrebbe compromesso la vittoria di Hillary Clinton nelle presidenziali americane.
Tutt’ora in atto – Whatsapp. I cyber criminali stanno inviando agli utenti false email che assomigliano ad un avviso ufficiale, ma che in realtà si tratta di malware scaricato con un file zip
La lista è lunga e potrebbe riempire ogni mese del calendario, come riporta quest’articolo di Arturo Di Corinto.
Il Phishing rimane il veicolo n.1 dei ransomware e altri malware come i keylogger.
6 tipi di truffe di phishing
1 – Deceptive Phishing
Il messaggio email sostiene di venire da fonti riconosciute e chiede di verificare il tuo account, reinserire le informazioni o effettuare un pagamento.
L’obiettivo del truffatore è recuperare i dettagli di cui ha bisogno per accedere al tuo account bancario.
2 – Spear Phishing
Una versione più sofisticata in cui il mittente usa le informazioni a disposizione per dirigere le richieste al destinatario.
L’obiettivo è ottenere dati bancari o altre informazioni personali.
3 –La frode CEO
I truffatori usano un indirizzo interno all’azienda, solitamente quello di un CEO o comunque di una figura che abbia potere decisionale e fare una richiesta urgente e diretta di pagamento.
L’obiettivo è il trasferimento di denaro direttamente ai cyber criminali
4 – Pharming
I criminali si appropriano di un nome di dominio e lo usano per ridirigere i visitatori al sito impostore.
L’obiettivo è intercettare e rubare pagamenti online.
5 – Dropbox Phishing
Email molto realistiche che sembrano essere delle richieste da dropbox in cui viene suiggerito all’utente di cliccare per rendere sicuro l’account o per scaricare un documento condiviso.
L’obiettivo è installare malware sul pc della vittima
6 – Google Docs Phishing
Un messaggio invita le vittime a vedere documenti su Google Docs. La landing Page è in effetti su Google Drive così da essere più convincente, ma una volta inserite le credenziali verranno inviate direttamente ai triffatori.
L’obiettivo è accedere al tuo account Google, inclusa gmail, google play e le app android
Come difendersi?
- Metti in dubbio ogni email che ricevi anche da fonti che sembrano in tutto e per tutto legittime, qualora ti venga chiesto un pagamento urgente o il reinserimento di dati sensibili.
- Controlla che i link siano quello che dichiarano di essere
- Rifiuta di fornire dettagli o password tramite email
- Riferisci le email sospette ai loro supposti mittenti
