Servizi Vincenti
Blog thumbnail
20
2017 Lug
BlogNo Comments

Phishing: cos’è e come difendersi

Il phishing è un tentativo di truffa, realizzato solitamente sfruttando la posta elettronica, che ha per scopo il furto di informazioni e dati personali degli internauti. I mittenti delle email di phishing fingono di essere organizzazioni conosciute, come banche o portali di servizi web, e hanno apparentemente uno scopo informativo. Avvisano di problemi riscontrati con account personali dell’utente (home banking, portali di aste online, provider di posta elettronica, social network e altro) e forniscono suggerimenti su come risolvere le problematiche.

La maggioranza dei casi vi verrà suggerito su qualche link invitandovi a fonrire informazioni e dati personali per ripristinare l’account o per renderlo sicuro. Nel caso in cui si cliccasse il link e forniste le informazioni richieste, si finirebbe diritti nella rete dell’hacker-pescatore.

Le fasi di un attacco phishing

Un tentativo di phishing si articola solitamente di quattro fasi.

  • Invio di falsi messaggi di posta elettronica da parte del truffatore. L’hacker invia decine di migliaia di email che simulano, nella grafica e nel contenuto, comunicazioni da parte di un istituto bancario, di un provider web, di un sito di aste online o di qualsiasi altra istituzione nota all’utente
  • Ricezione del messaggio. Nel messaggio di posta elettronica si avverte che è stato riscontrato un problema di sicurezza e che c’è la necessità di controllare il proprio account cliccando su un link presente nel testo dell’email stessa
  • Accesso al sito fasullo. Il link rimanda, tuttavia, a un sito fittizio, ospitato su di un server controllato dal phisher, e che riproduce perfettamente le sembianze del portale istituzionale dell’istituto bancario o del portale di aste online
  • Ricezione delle credenziali. Una volta effettuato il login sul sito-copia, i dati sono archiviati nel database del server di chi ha condotto l’attacco, che potrà disporne a proprio piacimento. Può accadere, inoltre, che visitando il portale fasullo si sia infettati da trojan horse e malware di vario tipo: in questo caso lo scopo è prendere possesso di nuovi computer così da arricchireil parco macchine della botnet utilizzata per condurre l’attacco

Come si riconosce un tentativo di phishing

Per riconoscere un attacco phishing è necessario prestare molta attenzione ai messaggi di posta che si ricevono e una buona dose d’intuito. I messaggi di posta elettronica contenenti un tentativo di phishing sembrano provenire, come detto, dalla banca o dall’istituto finanziario di fiducia, oppure da servizi web solitamente utilizzati (posta elettronica, social network e altro) e sono contraffatti alla perfezione (o quasi). Nella stragrande maggioranza dei casi, i messaggi di posta elettronica contengono loghi dall’aspetto ufficiale e informazioni caratterizzanti prese direttamente da siti web legittimi. È tutt’altro che raro, inoltre, che nelle email si faccia riferimento a fatti del passato realmente accaduti che gli hacker reperiscono direttamente dagli account social personali.

Riconoscere un tentativo di phishing, comunque, non è così complicato. Solitamente contengono messaggi allarmanti (del genere “Verifica il tuo account” oppure “Se non rispondi il tuo account sarà chiuso in 48 ore”), invitano a inserire informazioni personali e credenziali web in portali esterni e, soprattutto, sono scritti in un italiano poco corretto. I messaggi di phishing, infatti, sono scritti in inglese e tradotti con strumenti web: raramente la forma del testo sarà corretta e ciò dovrebbe far risuonare nella testa dell’internauta un vero e proprio campanello d’allarme.

Una nuova tipologia di attacco phishing

Per evitare che tutti i tentativi di attacco phishing “classici” fossero respinti al mittente, gli hacker hanno messo a punto nuove metodologie offensive. Una di queste sfrutta una falla nei sistemi di riempimento automatico dei vari browser (Chrome, Opera e Safari, ma anche di plugin come quello di LastPass) per trafugare informazioni senza che l’utente se ne rendesse conto. La scoperta è dell’esperto di sicurezza informatico finlandese Viljami Kuosmanen, che ha fornito alcuni esempi sul funzionamento di questo trucco tanto semplice quanto ingegnoso.

Utilizzando i sistemi di riempimento automatico dei browser, infatti, dà modo ai gestori dei siti e dei portali web di raccogliere dati e informazioni personali senza informare l’utente. Anche se un portale richiede l’inserimento del nome e del cognome o solamente dell’indirizzo di posta elettronica, il gestore del sito avrà accesso anche agli altri dati del sistema di completamento automatico. In questo modo, senza rendersene conto, si stanno “regalando” dati personali senza che gli hacker debbano impegnarsi più di tanto.

Per proteggere le informazioni personali online sarebbe consigliabile utilizzare il riempimento automatico solo su portali “certi”, oppure disattivare completamente la funzionalità e avere la certezza che nessuno potrà accedere ai nostri dati in maniera così semplice. Ecco come fare:

  • Disattivare riempimento automatico Chrome. Cliccare sul pulsante con tre puntini in verticale nell’angolo in alto a sinistra, scegliere la voce Impostazioni e successivamente Mostra impostazioni avanzate. Nella sezione Password e modulitogliere il segno di spunta in corrispondenza di “Attiva la compilazione automatica per compilare i moduli web con un click”

< >Disattivare riempimento automatico Safari. Accedere alle Preferenze e, nella sezione Completamento automatico, togliere la spunta di selezione in corrispondenza di tutte le informazioni che non si vogliono condividere con la funzionalità Disattivare riempimento automatico Opera. Dal Menu scegliere la voce Riservatezza e sicurezza e scorrere l’elenco sino a trovare la sezione Autocompletamento. Qui togliere la spunta alla voce “Attiva l’autocompletamento dei moduli nelle pagine web” per disattivare completamente la funzione

Come difendersi dal phishing

Le armi di difesa degli utenti contro questa forma di truffa informatica si basano tutte (o quasi) sul buon senso.

Prima di tutto bisogna pensare che un’istituzione seria non chiederà mai i dati personali di un utente tramite email. Bisogna controllare scrupolosamente che l’indirizzo del mittente e il link corrispondano perfettamente al sito web ufficiale e non contengano “errori”. Uno di questi “errori” è di utilizzare url civetta, dove la differenza tra gli indirizzi dei due siti è di una sola lettera (paipal.com anziché paypal.com, ad esempio). Per avere la certezza che il proprio account non corra alcun pericolo, è buona norma utilizzare la pagina di login usuale, evitando di accedere tramite il link presente nel messaggio di posta elettronica.

Con il passare degli anni e il crescere dei tentativi di attacco phishing. I provider di posta elettronica e le software house che sviluppano client email hanno dotato i loro prodotti di filtri antispam e antiphishing che proteggono l’incolumità dell’internauta. Non sempre, però, le maglie dei sistemi di sicurezza riescono a intercettare le email truffaldine. il superamento dei sistemi di sicurezza non è affatto sinonimo della veridicità del mittente.

Phishing

Tags: ,

Lascia un commento

© 2024 All rights reserved​

Degvoice S.r.l. - Capitale Sociale 10.000€ I.V.