È in corso un’attività di spamming a scopo estorsivo tramite mail per informare dell’hackeraggio del dispositivo attraverso un virus. Secondo la Polizia postale, l’inoculazione di virus informatici capaci di assumere il controllo dei dispositivi possa avvenire soltanto se i criminali hanno avuto disponibilità materiale dei dispositivi stessi. Oppure se sono riusciti a fare phishing informatico.
Per questo motivo Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino specializzata in sicurezza informatica, stila un vademecum per evitare di cadere nella trappola degli hacker ed essere vittima del phishing.
Phishing, il vademecum per sfuggire alle frodi
Il phishing consiste nell’invio da parte di malintenzionati di comunicazioni fraudolente atte a sottrarre dati sensibili o denaro. Avviene nella maggior parte dei casi tramite l’invio di messaggi di posta elettronica o sms. Questi simulano comunicazioni da parte di enti, istituti bancari o provider noti all’utente. Lo invitano ad aprire un collegamento che riporta a siti trappola o ad aprire un allegato contenente un malware.
LEGGI ANCHE Una connessione wi-fi pubblica? Ti può costare cara
“Originariamente gli utenti malevoli inviavano numerose mail di phishing ad utenti selezionati casualmente. Con il passare del tempo, però, gli hacker hanno innalzato l’asticella. Hanno iniziato a inviare mail di phishing targettizzate, cucite sull’utente stesso e sui suoi interessi”. Queste le parole di Hassan Metwalley, founder di Ermes Cyber Security. “L’uso di questo tipo di messaggi incrementa enormemente le possibilitá di successo dell’attacco. Per preparare attacchi del genere è indispensabile avere una conoscenza approfondita del proprio obiettivo. Queste informazioni possono essere anche semplicemente reperite dal profilo social dell’utente. Ma sempre piú spesso gli hacker ricorrono ai Web tracker, servizi che raccolgono dati per tracciare le abitudini degli utenti”.
LEGGI ANCHE Il crimine informatico si sta rivelando la forma più efficace di terrorismo
Le prime 3 regole per sfuggire al phishing
- Verificare attentamente il mittente dell’email, anche se questo controllo non è infallibile. Hacker e malintenzionati riescono facilmente a mascherare il proprio indirizzo attraverso l’email spoofing. Ovvero la pratica che consiste nell’impostare un indirizzo ufficiale come nome del mittente. Il lettore meno attento potrà quindi essere più facilmente tratto in inganno e tenderà a fidarsi della comunicazione ricevuta. Ermes Cyber Security suggerisce quindi di fare un passaggio in più e controllare le intestazioni (header) dell’e-mail ricevuta.
- Non scaricare gli allegati di mail di cui non si è sicuri. Anche semplici pdf possono essere veicolo di malware o di altri file eseguibili (exe o simili) che possono installare virus o backdoor sui dispositivi.
- Attenzione all’URL. Nella maggior parte dei casi le email di phishing invitano a cliccare su un link malevolo che riporta ad un sito trappola. Così che il malcapitato utente rilasci dati e informazioni personali. Anche cliccando sul link malevolo può capitare di ritrovarsi in un sito uguale all’originale. In questo caso bisogna fare molta attenzione all’URL, che potrebbe presentare un’estensione di dominio diversa dal normale. È bene ricordare che un istituto bancario non scriverà via mail per chiedere di aggiornare i dati online cliccando su un link. Per sciogliere ogni dubbio è sempre meglio rivolgersi all’assistenza clienti dell’ente che ci ha inviato il messaggio di posta.
Le altre 4 regole per sfuggire al phishing
- I social network sono una miniera di dati personali e di occasioni per gli hacker. Ogni giorno gli account degli utenti vengono violati a loro insaputa e diventano essi stessi veicolo di “infezione”. Quando un amico invia link dubbi, catene o richieste di aiuto, magari scritte in un italiano vacillante, non bisogna assolutamente cliccare o diffondere ad ulteriori contatti. Meglio piuttosto fermarsi e chiedere un’informazione in più al contatto amico da cui si ricevono link o messaggi “strani”. Non si devono accettare richieste di amicizia da parte di contatti sconosciuti o dal profilo dubbio.
- Controllare come è scritto il testo dell’email ricevuta: se è in un italiano traballante e utilizza appellativi troppo generici (es.: gentile utente della Banca), potrebbe essere la traduzione meccanica di un testo che viene spedito a migliaia di utenti in tutto il mondo.
- Diversi provider di posta consentono di segnalare non solo le email di spam, ma proprio quelle di phishing.
- Soprattutto nel caso delle aziende è sempre più importante proteggersi a monte dagli attacchi informatici per evitare data breach. Per questo motivo, Ermes Cyber Security ha sviluppato Ermes Internet Shield. Una soluzione totalmente automatica, è in grado di assicurare una protezione totale aggiornata in tempo reale a tutti i dispositivi aziendali.