Phishing: le nuove truffe in rete e come difendersi
Con la Pandemia aumentano i casi di phishing. Le truffe informatiche colpiscono anche gli utenti più esperti. Ecco come proteggersi dai cyber criminali.
Oltre ai danni correlati alla salute e a quelli di tipo economico, la pandemia ha portato anche all’incremento di truffe digitali e del phishing. I motivi vanno ricercati nell’aumento dello smart working e nell’adozione di uno stile di vita sempre più connesso.
Durante i lockdown gli individui tendono a usufruire maggiormente dei servizi offerti online. Il phishing mira a colpire quegli ambienti virtuali che le persone frequentano maggiormente. Casi recenti di phishing hanno riguardato i servizi di streaming, lo shopping online, i servizi di consegne a domicilio.
Il modo più comune attraverso cui il phishing colpisce è una e-mail con link su cui cliccare o con un allegato. Ma i cyber criminali sono sempre al lavoro per elaborare nuove truffe.
Alcuni dati sul phishing
Oltre che mettere a repentaglio le identità delle proprie vittime, il phishing produce danni economici rilevanti. Come riportato da truffa.net in questa interessante infografica, in Italia nel corso del 2019 sono stati registrati 6854 attacchi informatici. Le perdite collegate al phishing del 2018 sono state quantificate in 21 milioni di euro.
Tornando all’aumento del fenomeno del phishing durante la pandemia e nel periodo post lockdown, i dati sono allarmanti. Le truffe sul web sarebbero aumentate del 400%. In particolare al centro dei raggiri, generati anche dalla scarso livello di conoscenza degli utenti, ci sono stati pagamenti digitali, criptovalute e blockchain.
Inoltre sono aumentate le truffe via e-mail e telefoniche relative a investimenti, compravendita di azioni e movimenti in Borsa.
Truffe ad enti PA e grandi aziende
Talvolta le e-mail di phishing sono molto articolate e dettagliate, e riescono a trarre in inganno anche gli utenti più scaltri.
È il caso della truffa indirizzata ai contribuenti tramite una e-mail apparentemente inviata dall’Agenzia delle Entrate. I messaggi invitavano a visionare documenti a causa di alcune incoerenze riscontrate. L’obiettivo il solito: indurre ad aprire un allegato e installare un malware sul dispositivo del malcapitato.
Ma le vittime delle truffe informatiche non sono soltanto singoli utenti poco esperti. Ad esempio è noto il caso in cui il cyber crime ha preso di mira un gruppo di dipendenti di Twitter. Sono stati indotti a entrare nei sistemi interni e a cedere informazioni relative a numerosi account.
Il fatto, avvenuto il 15 luglio scorso, ha portato alla violazione di 130 account di VIP. Tra questi il candidato alla presidenza USA Joe Biden, l’ex presidente Barack Obama, e ancora Elon Musk, Jeff Bezos, Bill Gates.
Riconoscere le email di phishing
Il primo passo per difendersi dai tentativi di phishing è riconoscerli. Questi inganni infatti si basano sulla buona fede degli utenti, che fidandosi dei messaggi ricevuti e seguono le indicazioni in essi contenuti.
Ecco una lista degli elementi che caratterizzano le mail di phishing:
- Nome del mittente conosciuto
- Il destinatario è spesso una mailing list
- L’oggetto è un invito all’azione
- Il messaggio è rivolto a un destinatario generico, non personalizzato, può contenere errori grammaticali.
- L’e-mail contiene un link su cui cliccare o un allegato da scaricare e aprire.
Come difendersi dagli attacchi di phishing
Il problema del phishing è sempre attuale, in questo articolo sono indicati in modo approfondito vari strumenti con cui limitarne i pericoli.
Si consiglia di installare un filtro anti-phishing. Questo può aiutare a scremare le email che arrivano nella casella di posta, anche se non sempre è sufficiente. È necessario infatti procedere a una lettura attenta di tutte le comunicazioni ricevute cercando di individuare i segnali sospetti.
Mai cliccare su un link o scaricare un allegato e aprirlo. Evitare sempre di inserire le proprie informazioni personali in schermate pop-up o nelle email di risposta.
Se si hanno dubbi sulla veridicità del messaggio, si può fare una verifica direttamente sul sito dell’ente menzionato. In questo modo si inseriranno le proprie credenziali direttamente da browser sul sito web ufficiale.
Prepararsi a contrastare il phishing
Se si riscontra un caso di phishing cosa fare dopo? Prima di cancellare l’email, una segnalazione phishing può essere inviata alla polizia postale. Si può anche informare l’ente coinvolto nel raggiro.
Il tema della protezione dal phishing è fondamentale nelle grandi aziende e negli enti pubblici. Un report presentato alla conferenza sulla sicurezza informatica Usenix Soups 2020 lancia l’allarme. In base agli studi è stato riscontrato che i programmi di sensibilizzazione sul phishing esauriscono i propri effetti nel giro di 6 mesi.
Le conclusioni hanno portato a comprendere che la formazione in merito debba essere ciclica, con sessioni formative ripetute due volte l’anno.