Gli attacchi di phishing si verificano quando i criminali informatici inducono le loro vittime a condividere informazioni personali, come password o numeri di carte di credito,
Sapendo come riconoscerli e implementando soluzioni di sicurezza informatica, puoi proteggerti dagli attacchi di phishing.
Gli attacchi di phishing sono in aumento perché, per dirla senza mezzi termini, funzionano. L’Anti-Phishing Working Group (APWG) ha registrato 1,09 milioni di attacchi di phishing nel secondo trimestre del 2022.
Poiché gli attacchi di phishing continuano ad aumentare, è importante scoprire cosa comportano. Il phishing è il modo più comune tramite il quale gli aggressori mandano i ransomware, la forma di malware in più rapida crescita. Continua a leggere per scoprire come proteggerti dagli attacchi di phishing.
In cosa consistono gli attacchi di phishing?
Un attacco di phishing è un sofisticato attacco di social engineering volto a convincere la vittima a rivelare informazioni sensibili come numeri di carta di credito o numeri di previdenza sociale. La maggior parte degli attacchi di phishing assume la forma di e-mail che sembrano provenire da fonti attendibili. L’oggetto di solito contiene un messaggio urgente che spinge chi lo riceve a compiere un’azione immediata, come l’avviso che un account è stato compromesso o che un servizio sta per essere sospeso.
L’obiettivo dell’aggressore è quello di mettere in allarme il destinatario e sollecitare un’azione immediata senza riflettere, di solito, scaricando un allegato o facendo clic su un link. Quel clic può innescare un’infezione da malware, che può portare al furto delle tue informazioni private.
Come riconoscere un attacco di phishing
I criminali informatici spesso utilizzano e-mail di phishing e messaggi di testo per indurre la vittima a rivelare informazioni sensibili. Ecco alcuni modi per riconoscere se quelle e-mail e quei messaggi sono legittimi.
Presentano errori di ortografia o grammatica. Molte aziende hanno editor o colleghi che controllano se ci sono errori di ortografia o grammatica prima di inviare e-mail aziendali. Se l’e-mail che hai ricevuto ha più parole errate e una grammatica insolita, allora l’e-mail è molto probabilmente una truffa e non dovresti rispondere o fare clic su eventuali link o allegati.
Ti chiederanno di rivelare informazioni sensibili. Le aziende affidabili non ti chiederanno mai di inviare password, numeri di carte di credito o altre informazioni personali tramite e-mail o messaggi di testo. Assicurati di non inviare mai informazioni sensibili tramite e-mail o SMS, specialmente se non sai a chi le stai inviando.
L’indirizzo e-mail non corrisponde al nome utente del mittente. La sezione “Da” di un’e-mail è composta da due parti: il nome utente (o alias) e l’indirizzo e-mail. Per l’alias si può utilizzare qualsiasi cosa, ma non è possibile mascherare un indirizzo e-mail. I phisher cambiano sempre gli alias per sembrare legittimi, ad esempio, usano la dicitura “Servizio clienti PayPal”, tuttavia, se l’indirizzo e-mail usato non è PayPal.com, il messaggio è falso. Controlla sempre prima di fare clic.
Nell’e-mail sono presenti allegati non richiesti. Un’e-mail legittima da un’azienda non conterrà mai un allegato né ti richiederà di scaricare file. La prassi comune è indirizzarti al loro sito web, dove puoi scaricare file come i report in modo sicuro. Anche se l’e-mail proviene da un’azienda presumibilmente legittima, evita sempre di aprire allegati non richiesti.
Come proteggersi dalle minacce di phishing
Esistono diverse misure precauzionali che puoi adottare per proteggerti dalle minacce di phishing.
Non fare clic su un link o un allegato a meno che tu non abbia la certezza di ciò che stai facendo.
Se ricevi un’e-mail che non ti aspetti che ti dice di fare clic sul link o contiene un allegato, non selezionare nulla. Questa è una tattica di phishing comune che viene utilizzata dagli aggressori per attrarre vittime ignare e indurle a fare clic su un link o un allegato che contiene malware.
Non rispondere mai alle richieste di informazioni
Va da sé, uno dei modi migliori per proteggersi dalle minacce di phishing è non dare mai nessuna delle proprie informazioni personali a chi non si conosce. Questo può essere estremamente pericoloso per la propria sicurezza personale in quanto può portare a violazioni di più account. Se ricevi una richiesta di informazioni private da una società come la tua banca, chiamala direttamente per confermare che la richiesta sia legittima e non rispondere mai all’e-mail o al messaggio.
Utilizza l’autenticazione a più fattori
Abilitando l’autenticazione a più fattori su tutti i tuoi account, la tua sicurezza informatica verrà automaticamente migliorata. Ciò è dovuto al fatto che l’autenticazione a più fattori richiede che gli utenti si identifichino utilizzando qualcosa di più del semplice nome utente e password. In definitiva, rende più difficile il furto delle informazioni per l’aggressore. Tuttavia, devi fare attenzione alle minacce di phishing che ti chiedono il codice di autenticazione, inviandolo accidentalmente all’aggressore, gli stai dando accesso al tuo account.
Esegui il backup dei dati
Il backup continuo dei tuoi dati è estremamente importante, specialmente se sei vittima di un attacco informatico come un attacco di phishing. Avendo il backup dei tuoi dati in una cassaforte digitale sicura, hai la sicurezza di poter sempre accedere ai tuoi dati, nonostante finiscano nelle mani sbagliate.
Investi in una soluzione di gestione delle password
Uno dei vantaggi meno conosciuti dei password manager è che ti aiutano a proteggerti dalle truffe di phishing, infatti, non funzionano su una pagina di login in cui l’URL non corrisponde all’indirizzo inserito quando la voce è stata creata. Quindi, anche se il phisher ti induce a fare clic su un link, il password manager ti offre un ulteriore livello di protezione. Pensala come un’assicurazione contro il phishing.
Informati
Informarsi sulle ultime minacce di phishing è estremamente importante perché sarai in grado di riconoscere facilmente le minacce di phishing e sapere quando se ne verifica una sul tuo posto di lavoro o in un’azienda di cui sei cliente. Aggiornarsi sulle ultime notizie di sicurezza informatica è estremamente importante per salvaguardare la propria sicurezza online.
Cosa fare se subisci un attacco di phishing
Riconoscere un attacco di phishing è una cosa, ma diventarne vittima è un’altra. Se ritieni di aver subito un attacco di phishing perché hai inserito informazioni sensibili su una pagina web o fatto clic su un allegato, ecco cinque step da seguire.
1) Disconnetti il dispositivo da Internet
Disconnettere il dispositivo da Internet riduce la possibilità che il malware si diffonda ad altri dispositivi sulla stessa rete. Inoltre, impedirà al malintenzionato di accedere da remoto al tuo dispositivo o di utilizzarlo per inviare informazioni sensibili. È fondamentale agire subito per proteggere tutti i tuoi dispositivi.
2) Cambia la password su tutti i tuoi account
Se hai fatto clic su un link che ti ha portato a un sito web falso al quale hai tentato di accedere, l’aggressore potrebbe conoscere le tue credenziali. Questo è un tipo di attacco di phishing che induce le persone a pensare di visitare un sito web ben noto come quello del proprio conto bancario o dei social media. Se utilizzi le stesse credenziali o varianti delle stesse credenziali, gli aggressori potrebbero quindi accedere agli altri tuoi account utilizzando le informazioni che hai inserito nel sito falso.
Assicurarsi che le proprie credenziali abbiano sempre password forti e uniche è importante perché può impedire all’aggressore di causare ulteriori danni agli account. Utilizzando lo stesso nome utente e password per tutti i propri account, semplifichi il lavoro dell’aggressore.
3) Tieni d’occhio il tuo estratto conto alla ricerca di attività sospette
Poiché è possibile che l’aggressore possa aver ottenuto accesso ai tuoi conti bancari o a informazioni sensibili che possono essere utilizzate per accedere al tuo credito, è estremamente importante tenerlo d’occhio. Potresti persino considerare di congelare il tuo credito. Un blocco del credito aiuterà a impedire che l’aggressore possa aprire nuovi account a tuo nome.
4) Contatta l’azienda o la persona impersonata dall’aggressore
Far sapere all’azienda che un aggressore la sta impersonando è importante per proteggere te, l’azienda e i suoi clienti e dipendenti dal diventare anch’essi vittime. Potrebbero anche essere in grado di fornirti istruzioni per proteggere le informazioni sul tuo account.
5) Segnala il tentativo di phishing
Puoi segnalare un messaggio di testo di phishing alla Federal Trade Commission inoltrandolo allo SPAM (7726), oppure, puoi riportare il tentativo di phishing online su ReportFraud.ftc.gov.