Sicurezza online: proteggersi dal phishing. 5 (1)

Sicurezza online proteggersi dal phishing.

By on Sun Feb 13 in Phishing, security

Introduzione

Negli ultimi anni si sente parlare sempre piú spesso di attacchi informatici e di truffe portate a termine tramite internet. Uno dei metodi principali usati dai cyber criminali é il phishing. Per capire come proteggersi dal phishing, dobbiamo prima capire esattamente cos’é esattamente il phishing.

Cos’é il phishing

Il phishing é un particolare tipo di attacco informatico, basato sull’ingegneria sociale, che ha lo scopo finale di trafugare i dati degli utenti, come per esempio i numeri di carte di credito o le credenziali di accesso della banca. L’attacco prevede l’invio di un messaggio, per esempio via email, mascherando il mittente come un’entitá di fiducia, oppure avviene tramite sms (questo tipo di attacco si chiama smishing).

L’aggressore quindi, mascherato da un’entità fidata, inganna la vittima per farle aprire un’e-mail, un messaggio istantaneo o un messaggio di testo e farle inserire volontariamente alcuni dati sensibili e personali come PIN, numero di carte di credito, dati personali e così via.

Un esempio recente di phishing

Il Ministero della Salute ha pubblicato un post via Facebook in data 28 Gennaio 2022 in cui metteva in guardia le persone circa false email che hanno iniziato a circolare, in cui il mittente si fingeva il Ministero della Salute. Ecco il link al post: https://www.facebook.com/MinisteroSalute/posts/2033412060169940

Vediamo quindi come proteggersi dal phishing.

Come individuare le e-mail di phishing

Quindi, come proteggersi dal phishing? Fino a qualche anno fa, un messaggio di phishing era abbastanza facile da identificare: il messaggio era in genere scritto male, pieno di errori di ortografia, vago o semplicemente non aveva senso, e il mittente era chiaramente sconosciuto e non poteva essere chi diceva di essere. Nel corso del tempo peró, i cyber “truffatori” hanno raffinato le loro tecniche e sfortunatamente oggigiorno puó essere difficile individuare un messaggio di phishing. Questo significa quindi che dobbiamo tenere gli occhi aperti e vigiliare ancora di piú rispetto a quanto facevamo in passato.

Vediamo alcuni punti che se individuati, ci faranno identificare istantaneamente un messaggio di phishing.

Controllare il mittente

Un esempio: se la banca chiede di confermare le credenziali per ragioni di sicurezza, non fatelo! È una truffa. Tutte le banche hanno avvisi sui loro siti web riguardo questa tecnica. In piu, contollare sempre l’indirizzo email di provenienza quando non si é sicuri é un buon modo per evitare scocciature in seguito. Il dominio (la parte di indirizzo email dopo la chiocciola @) deve essere quello della banca: anche un solo carattere diverso deve essere motivo di allarme. Ad esempio: [email protected] é diverso da [email protected] o [email protected] (avete notato la “m” e la “nn”?). Sullo smartphone puó essere difficile capire l’indirizzo del mittente, é piú facile individuare il mittente truffaldino da un PC desktop o un laptop. Questo perché con un mouse é possibile mostrare l’indirizzo email in sovraimpressione passando col mouse sopra al nome del mittente.

Controllare il messaggio

Spesso, questi messaggi non sono indirizzati direttamente al nome del destinatario, ma piuttosto contengono generici “Gentile cliente”, “Egr. signore/a”. Se ci si é iscritti a qualche newsletter, oppure si sta aspettando un pacchetto, il serivizo ha tutti i nostri dati, per cui non ha nessun motivo di scrivere ad un generico cliente.

L’urgenza del messaggio

Spesso, in un messaggio di phishing, viene chiesto al destinario di fare qualcosa il piú presto possible. Ricevo quotidiamente email di phishing in cui mi si chiede di inserire un qualche tipo di dato personale perché un fantomatico pacchetto che dovrei ricevere é fermo da qualche parte. Aspetta… ma non stavo aspettando nessun pacchetto!!! Oppure viene chiesto di cambiare la password il prima possible perché altrimenti un qualche nostro account verrá sospeso in modo definitivo. Semplicemente ignorate il messaggio, e segnalatelo contrassegnando il messaggio ricevuto come phishing (funzionalitá prevista nei maggiori fornitori di posta elettronica).

Il linguaggio

Il linguaggio usato non è sempre del tutto corretto, anche se gli autori sono molto più attenti di una volta. Il messaggio è spesso discutibile, e anche il motivo per cui si suppone si debba eseguire l’azione richiesta può essere un po’ strano. In caso di dubbio, contattate sempre prima il vero mittente, ad esempio la vostra banca tramite il loro sito web o i canali di contatto ufficiali, non rispondete al messaggio sospetto.

Un link potrebbe sembrare legittimo, ma potrebbe benissimo condurre a un sito web dannoso. Prima di cliccare su qualcosa, controllare dove si viene indirizzati. Sul PC desktop, la maggior parte dei browser (IE, Chrome, Firefox) e Outlook mostreranno il link in sovraimpressione nell’angolo in basso a sinistra dello schermo.

Domande

Le email di phishing spesso chiedono dettagli personali come le password. Non cascateci! Le aziende legittime non chiederanno mai e poi mai informazioni sensibili via e-mail.

Come proteggersi dal phishing
Come proteggersi dal phishing?

Come proteggersi dal phishing, quindi?

Cerchiamo di capire come proteggersi dal phishing. Per prima cosa usare il buon senso! Ho un account con la banca TalDeiTali? Se no, di sicuro il messaggio é un messaggio di phishing. Sto aspettando un pacchetto per corrispondenza? No? Inutile quindi anche solo aprire il messaggio, sicuramente é phishing! In generale, se non si é sicuri di un’iscrizione, contattare l’organizzazione o l’azienda da cui presumibilmente proviene l’e-mail, usando il numero di telefono o l’indirizzo e-mail che appare sul loro sito web, non quello che potrebbero menzionare nella e-mail sospetta.
E poi ci sono alcuni soluzioni tecniche che si possono implementare, come per esempio:

  • Installare un buon antivirus e firewall sul computer, attivarli e aggiornarli regolarmente.
  • Non usare reti o computer pubblici per transazioni finanziarie o per trasferire altre informazioni sensibili. Conservarle per quando si torna a casa.
  • Non scaricare software o file da fonti discutibili o sconosciute.
  • Non usare mai reti WiFi pubbliche. Optare invece per un hotspot personale o una rete sicura.
  • Impostare un rigoroso filtro antispam, così da non ricevere e-mail indesiderate.

Differenza tra spam e phishing

Abbiamo visto sopra cos’é il phishing, vediamo ora cos’é lo spam.

Lo spam è costituito da e-mail, messaggi istantanei o messaggi di social media non richiesti. Questi messaggi sono abbastanza facili da individuare e possono essere dannosi se si aprono o si risponde. In genere, sono messaggi pubblicitari non richiesti, inviati a un numero molto elevato di utenti tramite posta elettronica. Si pensi al classico messaggio email che sponsorizza uno shop online di Viagra e Cialis. Lo spam intasa gli abituali canali di comunicazione e genera un considerevole volume di traffico. In più, lo spam può anche essere strumento di truffa: ti propone improbabili progetti finanziari, cerca di far credere in una favolosa vincita di denaro o in una grossa ereditá (per esempio la famosa truffa “alla nigeriana”). Segnalare al proprio provider di posta un messaggio di spam aiuta a identificare il messaggio prima che finisca nella nostra legittima casella di posta.

Password e brute force attack

Molti cyber criminali usano applicazioni che sono progettate per generare migliaia di password in pochi secondi, con le quali tentano di bucare i sistemi (un sito web, la posta elettronica, e così via). In questo caso si parla di brute-force attacks. Più facili sono le vostre password, più velocemente i cyber criminali riusciranno ad entrare. Ecco perché ogni password dovrebbe essere forte, il che significa che dovrebbe soddisfare i seguenti requisiti:

  • Deve contenere almeno 8 caratteri.
  • Non deve essere prevedibile (non usare parole semplici o nomi).
  • Dovrebbe consistere di diversi caratteri, lettere maiuscole e minuscole e numeri. Più lunga è la password, meno caratteri speciali occorre usare.

Una password come “password123” é sicuramente più semplice da individuare per un software attaccattante rispetto ad una password come “j%T{1%PeXt<gIa-“, che contiene lettere minuscole, maiuscole, cifre e simboli, tutti molto casuali.

Attenzione quindi, basta davvero poco per proteggersi e non farsi bucare gli account. Online, esistono generatori di password come 1Password Generator, o come Generatore di Password che é completamente in italiano, così come esistono password manager. Questa accoppiata funziona ed é semplice da mettere in pratica con qualche click. Un password manager é un gestore di password che memorizza i login (indirizzi web, username e password). In più lo si può installare su PC, su smartphone, e come estensione del browser. Esiste per esempio Bitwarden, che è un servizio di gestione delle password gratuito e open-source che memorizza le informazioni sensibili come le credenziali dei siti web in un caveau criptato.

Autenticazione a due fattori

Negli ultimi anni si vede sempre più spesso sui siti web e nelle app, un meccanismo chiamato autenticazione a due fattori. Si tratta di inserire un secondo codice o usare la propria impronta digitale per accedere ad un servizio. Non basta piú quindi inserire solo lo username e la password. Solitamente si usa una app esterna al sito o al servizio in cui si sta tentando di accedere, come Google Authenticator, Microsoft Authenticator o Authy.

In conclusione: proteggiti!

Quindi, come proteggersi dal phishing? In gran parte, la sicurezza digitale e la privacy sono nelle mani degli utenti stessi. Si puó mantenere il controllo pensando attentamente a queste cose e rimanendo vigili. E gestire le password in modo efficiente.
In sintesi:

  • Essere sempre vigili contro le e-mail di phishing. Controllare l’indirizzo e-mail del mittente e non dare mai le informazioni personali via e-mail.
  • Chiudere la propria porta digitale con password forti e uniche.
  • Assicurarsi che le tue password siano impossibili da indovinare e non scriverle su foglietti adesivi.
  • Usare un gestore di password.
  • Usare l’autenticazione a due fattori, se possibile.
  • Invece delle reti Wi-Fi pubbliche, usare la rete dati cellulare.

Domande o dubbi? Scrivetemi attraverso la mia pagina dei contatti.