Phishing, come riconoscerlo ed evitarlo

Il phishing è un attacco informatico che mira ad ottenere informazioni sensibili

0
857

e398a5b7ef

Il phishing è un attacco informatico che mira ad ottenere informazioni sensibili (come username e password). E’ uno degli attacchi hacker più datati ma, a differenza degli altri, l’obbiettivo sono le persone non i computer.  I mezzi utilizzati per condurre gli attacchi sono il telefono, gli sms e le e-mail.

Nonostante i mezzi usati siano diversi, il phishing  ha uno schema ben preciso che può essere riconosciuto e quindi evitato. In sintesi, il phishing è una truffa: tramite telefono, sms o email, il malintenzionato si finge un operatore del gas, delle poste o della banca. Se non ci accorgiamo della falsa identità, potremmo dare al malintenzionato i nostri dati sensibili, come password e numeri di carta di credito. Il mezzo più utilizzato è l’email perché è dinamica e rapida. Lo schema di attacco si divide principalmente in 4 step.

Step 1: La tecnica si concentra su utenti che ricevono quotidianamente email da una particolare azienda. Se per esempio avete un abbonamento Sky, il truffatore si spaccerà per operatore Sky. Questo ragionamento vale anche per l’email. La nostra banca invia spesso messaggi di notifica, quindi il truffatore imposterà l’email di phishing uguale a quella della nostra banca.

Step 2: Quando aprite l’email vi sarà chiesto di aprire la pagina web ad essa allegata. Visualizzandola, essa sarà completamente uguale a quella della vostra banca. L’hacker ha impostato la schermata di login copiandola esattamente. 

Step 3: Nel momento in cui inserite la password nella schermata di login, le vostre credenziali saranno salvate e inviate al truffatore.

Step 4: A questo punto vi apparirà un messaggio di errore invitando a riprovare il login più tardi.  Questa è un attività di depistaggio, cercheranno di convincervi che il login ha dei problemi tecnici. In realtà quel sito non serve a nulla se non a rubare le vostre credenziali.

Per concludere possiamo affermare che, l’unica difesa efficace, è solo la formazione. E’ necessario verificare sempre i mittenti delle email. Una buona tecnica è copiare l’email mittente e cercarla su google.  E’ consigliabile anche, controllare l’indirizzo presente nel nostro browser (evidenziato in rosso nella foto sottostante). L’indirizzo deve essere completamente uguale a quello della vostra banca o dell’azienda di cui siete clienti. Nel caso riconosceste questo schema allo step 4, cambiate immediatamente la vostra password.

 

phishing