Cosa significa phishing
In questo articolo andiamo ad approfondire un argomento molto trattato nel recente periodo. Parliamo di phishing e consigli utili su come evitare il furto di dati.
Ecco qui di seguito cosa andremo a vedere nello specifico.
Cosa significa phishing e come tutelarsi dai furti di identità
Phishing è un tipo speciale di truffa che avviene su Internet ingannando gli utenti. Si ottiene principalmente tramite e-mail contraffatte: Via email, ovviamente da un istituto finanziario (banca o società di carte di credito) o da un sito web che devi visitare dopo la registrazione (webmail, e-commerce, ecc.). Il messaggio invita, menziona la registrazione o altre domande, a fornire i tuoi dati riservati di accesso al servizio. Spesso nei messaggi, per rassicurare falsamente gli utenti, viene visualizzato un link che apparentemente rimanda al sito web dell’agenzia di credito o al servizio con cui sono registrati. Se gli utenti inseriscono i loro dati riservati, questi saranno disponibili per i criminali del web.
Come per il furto di servizi finanziari online o altri dati di accesso che richiedono la registrazione, un pericolo più sottile deriva dall’uso di virus informatici. La via dell’infezione è diversa. Il più comune è sempre il classico allegato alle email; oltre ai file con estensione, i virus si diffondono attraverso fatture false, multe, avvisi di consegna pacchi (arrivando in formato .doc .pdf). Nel caso dei cosiddetti “malware finanziari” o “trojan bancari”, i virus si attivano per rubare dati finanziari. L’inserimento di “nome utente e password” su una tastiera attiva un altro tipo di virus, il cosiddetto “keylogging”, in cui i criminali hanno le chiavi per accedere ai tuoi account di posta elettronica o e-commerce.
Come sensibilizzare gli utenti agli attacchi di phishing?
Un modo per proteggere la tua organizzazione dal Phishing è istruire gli utenti. L’obiettivo è solitamente l’alta dirigenza. Insegna loro come riconoscere le email di Phishing e cosa fare quando le ricevono. Gli esercizi di simulazione sono fondamentali anche per valutare le risposte dei dipendenti agli attacchi di Phishing in scena. Poiché il Phishing è un’arma psicologica e prende di mira il comportamento umano, è difficile evitarlo a livello tecnico: le email non sono adeguatamente identificate dai filtri antispam, quindi di solito raggiungono il destinatario previsto.
Nel caso delle risorse umane, possono accettare applicazioni tramite un portale e quindi bypassare il gateway tramite e-mail. Pertanto, un’efficace difesa dal Phishing è la formazione e la sensibilizzazione dei dipendenti.
In condizioni reali ma controllate, i dipendenti sono particolarmente a rischio di Phishing. Ad esempio, le simulazioni di spear Phishing consentono loro di familiarizzare con le tecniche degli aggressori senza causare alcun danno. In questo tipo di campagna, le e-mail di Phishing vengono inviate all’interno di un’azienda per ore o giorni a tutti o a individui, gruppi di persone o dipartimenti. L’azienda decide se avvisare i dipendenti di questo o per quanto tempo. Se un destinatario ora apre una delle e-mail della campagna o fa clic sul collegamento, le sue azioni vengono archiviate in modo anonimo nel database.
Ciò può essere ottenuto tramite un collegamento specifico dell’utente nell’e-mail.
Vuoi tutelarti da un attacco informatico?
Proteggi il tuo sito web
5 consigli per difendersi dal phishing
Qui di seguito trovate 5 consigli utili (che spesso sono correlati a classici errori che gli utenti commettono, probabilmente pure tu lo hai già fatto!)
1 Controlla sempre il mittente della mail
In realtà, questo deve essere sempre analizzato attentamente. Quando ricevi un’e-mail sospetta, devi immediatamente confrontarla con la tua banca o con una comunicazione certificata autentica. Basta notare la differenza, anche minima, nel nome o nell’indirizzo del mittente per sapere che stai affrontando una frode. È anche utile provare a modificare la password regolarmente, utilizzare caratteri alfabetici, numeri e simboli se consentito ed evitare di inviare il proprio indirizzo e-mail a contatti sconosciuti per evitare lo spoofing delle e-mail o utilizzare la propria casella postale senza autorizzazione.
2 Verificare la sicurezza del sito
Un’altra strategia di prevenzione contro il Phishing prevede la verifica dei siti Web visitati. Oggi i browser bloccano automaticamente i portali non sicuri, o comunque inseriscono un avviso nella barra per lo stesso URL. In entrambi i casi è meglio verificare la presenza del protocollo HTTPS: Hypertext Transfer Protocol over Secure Sockets Layer, un codice indispensabile in tutti i siti che permette di navigare in sicurezza senza preoccuparsi di rubare i dati. Causato da attacchi di personaggi fuori dalla porta.
Per quanto riguarda la protezione del proprio sito web abbiamo realizzato questo servizio che mette in sicurezza il sito dagli attacchi informatici. >>> sitoinsicurezza.it
3 Il contenuto della mail
Per evitare attacchi di Phishing, è necessario controllare il contenuto dell’e-mail, ovvero il testo. Molte volte queste truffe, per quanto ben congegnate, sono imprecise al livello più alto, quindi errori di ortografia e di battitura compaiono nello stesso contenuto. Questo dettaglio garantisce la sicurezza del fatto che il contenuto non è stato inviato da un’istituzione ufficiale come una banca.
4 Non scaricare gli allegati
Molte e-mail inviate per truffe di Phishing presentano vari allegati, come immagini e altri contenuti. Questi non dovrebbero mai essere scaricati, altrimenti potresti essere infettato da malware. Si tratta di uno spyware che consente ai truffatori di monitorare l’attività su dispositivi fissi o mobili e quindi di sottrarre dati sensibili contenuti al loro interno, come numeri identificativi account, codici e password varie.
5 I filtri antiphishing
Infine, si consiglia vivamente di installare sul computer una serie di programmi, come antivirus e antimalware. Non offrirli significa lasciare la porta principale del tuo PC a hacker, spammer e ogni altro oggetto dannoso che si diffonde sul web. Negli ultimi anni, sempre più fornitori di servizi di posta elettronica hanno sviluppato filtri antiphishing che consentono di bloccare la ricezione di comunicazioni fraudolente. Questi vengono scartati e generalmente inseriti nella sezione spam. Ricorda, questi filtri antispam non sono garantiti per bloccare il 100% di tutti i tentativi di Phishing. Rappresentano però un ulteriore mezzo di difesa per chi vuole navigare in rete in tutta sicurezza.
Come tutelare il proprio sito web da un attacco Phishing
Come abbiamo già visto in articoli procedenti, cosi come nei punti che precedono questo paragrafo, cis sono strumenti che tutelano le aziende dagli attacchi informatici, anche proteggendo il proprio sito web, punto di ingresso di molti attacchi informatici. Con gli attacchi in aumento è inevitabile dover fare affidamento a più strumenti, sia sul piano della difesa sia su quello della ripresa, per far fronte alle difficoltà. Sono diversi i punti di ingresso di un attacco informatico, uno dei quali è rappresentato dal sito web. Un hacker attraverso il sito può accedere a tutti i tuoi dati, portandoti al blocco operativo. Pensa ad un sito che deve generare contatti o addirittura vendere. Se fosse oscurato o addirittura andasse perso da un attacco, un’azienda perderebbe moltissimo in termini monetari. Molte aziende chiuderebbero addirittura. Per tutelare la aziende da questo possibile problematica, abbiamo realizzato Sito in Sicurezza, un servizio che monitora lo stato di salute del proprio sito web e tiene una copia del sito su un server dedicato, in caso ci fossero problemi. Per scopri il servizio non ti resta che cliccare qui.I principali attacchi informatici avvengono dal sito web.
Inizia a proteggerti
