Il phishing รจ una forma di cyber-attacco che mira ad ottenere informazioni sensibili e personali, come numeri di carta di credito, password e dati finanziari, ingannando le persone attraverso lโinvio di e-mail o messaggi falsi che sembrano provenire da fonti affidabili o altre strategie che fanno comunque leva sempre sul raggiro. Spesso queste comunicazioni contengono link dannosi che, se cliccati, indirizzano gli utenti a pagine web contraffatte, dove vengono invitati a inserire i loro dati personali. Questi attacchi di phishing sono sempre piรน sofisticati e possono causare gravi danni finanziari e violazioni della privacy. Eโ fondamentale per gli utenti essere consapevoli di queste minacce e adottare precauzioni per proteggere le proprie informazioni personali online.
Vai allโargomento di tuo interesse :
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
- Tipologie di phishing
- Phishing dei messaggi di Sicurezza da parte di Google
- Segnalare siti di phishing a Google
- Come identificare una email di phishing
- Come segnalare una email di Phishing a Google
- Come proteggersi dagli attacchi di phishing
1) Tipologie di phishing
- Email phishing. Unโemail proveniente da un mittente apparentemente legittimo che cerca di ingannare il destinatario affinchรฉ segua un link malevolo e/o scarichi un file infetto. Lโindirizzo email e qualsiasi URL in unโemail di phishing possono utilizzare il metodo della falsificazione per apparire legittimi. In un tentativo di frode tramite email di phishing, lโattaccante invia quindi unโemail che sembra legittima, progettata per ingannare il destinatario affinchรฉ inserisca informazioni in risposta o su un sito che lโhacker puรฒ utilizzare per rubare o vendere i loro dati.
- Smishing/SMS phishing. Lo โsmishingโ รจ una forma di phishing che avviene attraverso messaggi di testo o SMS. Gli aggressori cercano di ingannare le vittime inviando messaggi ai dispositivi mobili, al fine di ottenere informazioni personali come i numeri delle carte di credito o altri numeri di conto. Contromisure: Evita di aprire collegamenti da numeri di telefono sconosciuti.
- Vishing/Voice phishing. Il vishing รจ un tipo di phishing in cui uno truffatore utilizza tattiche di ingegneria sociale per farti rivelare informazioni preziose al telefono. Durante queste chiamate, lo scammer potrebbe fingere di essere una fonte affidabile come il gestore di un servizio, il tuo medico o la tua banca. Un esempio di vishing potrebbe essere una chiamata casuale dalla tua compagnia di carte di credito che sostiene che il tuo account รจ stato compromesso. Per proteggere il tuo account, lo scammer ti chiederร le tue informazioni personali. Contromisure: Se mai ricevi una chiamata sospetta, riattacca prima di fornire qualsiasi informazione. Per confermare lโidentitร del chiamante, puoi cercare il numero di telefono ufficiale dellโazienda e chiamarlo tu stesso.
- Angler phishing. Lโangler phishing รจ una forma di attacco di phishing in cui un criminale informatico assume lโidentitร di un rappresentante del servizio clienti. Oltre a tentare di rubare le vostre informazioni personali, questi malintenzionati possono anche cercare di infettare il vostro dispositivo con malware. Contromisure: condurre sempre unโindagine approfondita su chi vi contatta prima di intraprendere qualsiasi interazione, seguire le sue istruzioni o cliccare su qualsiasi link.
- Pop-up phishing. Il pop-up phishing รจ un tipo di attacco che sfrutta adware e annunci a comparsa per ingannare gli utenti nel scaricare malware sui loro dispositivi. Caratteristiche comuni di questi attacchi includono falsi avvisi di virus e tattiche di allerta per farti cliccare sui messaggi senza pensarci. Un esempio di pop-up phishing รจ quando navighi sul web e sei bombardato da un avviso a comparsa che ti informa che il tuo dispositivo รจ stato infettato da un virus. Lโavviso a comparsa afferma anche che puoi rimuovere il virus inserendo le tue informazioni e scaricando un programma antivirus. Si tratta ovviamente di un falso software antivirus progettato per rubare le tue informazioni. Contromisure: attiva un adblock di pop-up (cerca su google โadblock per telefonoโ oppure โadblock per computerโ) e evita di fare clic su eventuali finestre a comparsa che incontri online.
- Spear phishing. Lo spear phishing รจ un metodo mirato di phishing che i cybercriminali utilizzano per rubare le tue informazioni facendosi passare per una fonte attendibile. Se riescono a ottenere le informazioni desiderate, potrebbero usarle per scopi maligni come il furto di identitร . A differenza di altre forme di phishing, il spear phishing prende di mira un individuo specifico, che sia un dipendente medio di una azienda. Un esempio di ciรฒ potrebbe essere una email di phishing fingendo di essere il proprio capo. Nella email, lo scammer potrebbe cercare di ottenere informazioni private dal dipendente che potranno essere successivamente sfruttate a proprio vantaggio. Contromisure: verifica sempre attentamente lโindirizzo email del mittente prima di rispondere e se qualcosa non ti convince fai una telefonata e parla direttamente con le persone.
- Whaling attacks. Le attivitร di attacco sono simili allo spear phishing anche se qui i criminali informatici non si rivolgono ai dipendenti ma prendono di mira i dirigenti o ad altri membri importanti di unโorganizzazione nel tentativo di ottenere informazioni che consentano loro di accedere in modo privilegiato allโambiente di destinazione. Contromisure: verifica sempre attentamente lโindirizzo email del mittente prima di rispondere e se qualcosa non ti convince fai una telefonata e parla direttamente con le persone.
- Clone phishing. Un attacco di clone phishing si verifica quando un truffatore cerca di replicare unโemail di marca legittima che potresti aver giร ricevuto, inserendo un link o un allegato dannoso. In alcuni casi, lโemail clonata puรฒ contenere qualcosa come โrimandoโ o โinoltro di nuovoโ per farti pensare che provenga dal mittente originale che si sia dimenticato di dirti qualcosa. Un esempio di clonazione phishing รจ ricevere due volte la stessa email, ma uno dei due messaggi proveniente da un indirizzo email leggermente diverso. Ad esempio, ricevi due email identiche, una da โsupporto@amazoon.itโ e lโaltra da โsupp0rt@amazon.itโ. Contromisure: stai attento alle email duplicate e verifica lโindirizzo email del mittente prima di interagire con il messaggio.
- Evil twin phishing. Evil twin phishing รจ un cyber attacco progettato per rubare le tue informazioni utilizzando una rete Wi-Fi fasulla. Se ti unisci alla rete maligna di un cybercriminale, loro possono monitorare il tuo traffico web e catturare le credenziali di accesso che utilizzi durante la connessione. Un esempio potrebbe essere quello di connettersi a un hotspot Wi-Fi falso di un ristorante che si sta facendo passare per una connessione Wi-Fi legittima. Quindi potresti pensare di connetterti alla rete di un ristorante locale quando in realtร ti stai unendo alla rete di un hacker. Una volta connesso, lโattaccante puรฒ vedere tutto ciรฒ che fai utilizzando il suo router. Contromisure: usa estrema cautela quando ti connetti a una rete Wi-Fi diversa dalla tua. Per una maggiore sicurezza, utilizza sempre una VPN come NordVPN che puoi ottenere con un fantastico sconto per pochi euro al mese se aderisci a questa offerta [ click qui].
- Pharming. Il pharming รจ una tecnica fraudolenta nota per sfruttare codici e software dannosi per ottenere illecitamente le vostre informazioni personali. Impiantando il codice maligno, i cyber-attaccanti possono reindirizzare di nascosto il vostro traffico internet verso siti web contraffatti e dannosi, con la conseguente esposizione involontaria dei vostri dati privati agli hacker. Un tipico scenario di attacco pharming prevede che il traffico Internet venga deviato verso siti web non sicuri, contraddistinti da URL che iniziano con โHTTPโ anzichรฉ con il piรน sicuro โHTTPSโ. Inoltre, anche la comparsa di un messaggio di errore del tipo โla tua connessione non รจ privataโ o lโosservazione di alterazioni sospette, come caratteri diversi o errori di ortografia, su siti web familiari possono indicare un attacco di tipo pharming. Contromisure: per ridurre il rischio di attacchi di pharming, รจ fondamentale astenersi dal visitare siti web โHTTPโ non protetti.
- Social engineering. Lโingegneria sociale รจ un termine ampio che descrive le tattiche di phishing utilizzate per manipolare le persone e indurle a rivelare informazioni private. Per rendere questi truffe piรน efficaci, gli scammers spesso cercano informazioni sulla persona che stanno cercando di truffare e le usano a loro vantaggio. Ad esempio, un cybercriminale potrebbe contattarti da un numero casuale affermando di essere uno dei tuoi amici in grave bisogno di aiuto. Per farti agire rapidamente, lo scammer creerร una storia elaborata progettata per colpire le tue emozioni, chiedendoti denaro o informazioni sensibili. Contromisure: se ricevi una richiesta urgente, evita il panico e prenditi il tempo per valutare la legittimitร della situazione. Potrebbe anche esserti utile ottenere un parere secondario da un amico o un membro della famiglia.
- HTTPS Phishing. Il phishing HTTPS avviene quando un criminale informatico ti inganna nel fornire le tue informazioni personali utilizzando un sito web dannoso. Per farti accedere a questi siti, il truffatore nasconde il link dannoso allโinterno di una e-mail, spesso travestendolo come un link a un sito legittimo. Ad esempio, una truffa di phishing HTTPS potrebbe essere una e-mail che ti chiede di accedere a Instagram per proteggere il tuo account. Nellโe-mail sembrerร che stai parlando con un membro del supporto di Instagram, quando invece si tratta di un inganno. Quando clicchi sul link, verrai invece reindirizzato a un sito web falso progettato per rubare le tue credenziali di accesso. Contromisure: analizza attentamente lโURL di un sito prima di effettuare lโaccesso.
- Watering Hole Phishing. In un attacco di phishing di tipo watering hole, un hacker individua un sito che un gruppo di utenti tende a visitare. Eโ quindi un attacco mirato di phishing in cui un criminale informatico compromette un sito web utilizzato da un gruppo specifico di persone. In questi attacchi, lโhacker cerca di infettare i dispositivi degli utenti mirati con malware per ottenere accesso a informazioni private. Ad esempio, un criminale informatico potrebbe cercare una vulnerabilitร di sicurezza in un sito web utilizzato regolarmente da un gruppo di dipendenti. Una volta che il criminale informatico compromette il sito web, puรฒ rubare le informazioni di chiunque visiti il sito, permettendogli di aspettare che gli utenti cadano nella trappola. Contromisure: installa un software antivirus per fornire un ulteriore livello di sicurezza durante la navigazione web.
- Deceptive Phishing. Eโ un tipo di phishing che utilizza tecnologie ingannevoli come lโinvio di email fasulle per inviare messaggi che sembrano provenire da un indirizzo diverso dal loro. Come altre tipologie di email di phishing, questi messaggi potrebbero contenere link o allegati dannosi. Potrebbe trattarsi di unโemail di phishing che sembra provenire da una societร affidabile. Ad esempio, potresti ricevere unโemail da โsupporto@apple.comโ che afferma di avere bisogno delle tue credenziali di accesso per risolvere un problema con il tuo account. Contromisure: Pensa sempre due volte prima di cliccare su link e allegati, anche se il mittente sembra affidabile. Invece, accedi direttamente al sito web utilizzando un URL affidabile giร memorizzata nei segnalibri anzichรฉ utilizzare il link nellโemail.
- Man-in-the-Middle Phishing Attacks. Con un attacco man-in-the-middle, lโhacker si mette in โmezzoโ a due parti e cerca di rubare le informazioni scambiate tra loro, come le credenziali dellโaccount. A differenza degli attacchi di phishing tradizionali, che mostrano una versione separata ma spoofata di una pagina di login legittima, gli attacchi MitM mostrano allโutente lo stesso identico contenuto che vedrebbe nella pagina di login legittima. Invece di ospitare una replica di una pagina di login legittima, i server MitM si limitano a prendere il contenuto reso sul sito legittimo e a trasmetterlo allโutente finale. In altre parole, i server MitM fungono da proxy tra lโobiettivo e la pagina di login legittima. Quando lโobiettivo inserisce le proprie credenziali nella pagina proxy, il server MitM memorizza le credenziali e le inoltra alla pagina di login legittima, dando luogo a un tentativo di login riuscito. Dal punto di vista della vittima, tutto appare come se avesse effettuato lโaccesso alla pagina legittima. Inoltre, entrambe le connessioni (dal server MitM al sito legittimo e dalla vittima al server MitM) sono servite tramite il protocollo HTTPS, quindi la vittima vedrร che la connessione รจ โsicuraโ grazie allโicona del lucchetto nella barra degli indirizzi del browser web. Contromisure: utilizzare un gestore di password per archiviare e immettere le credenziali. Se ti trovi su una pagina di phishing MitM ospitata su un sito Web che il gestore delle password non riconosce, il gestore delle password ti avviserร prima di inserire le tue credenziali. Poi utilizzare metodi MFA piรน aggiornati, come chiavi di sicurezza hardware o WebAuthn 2FA.
- Website Spoofing. La maggior parte degli attacchi di phishing cercano di farti condividere le tue informazioni private e il website spoofing non fa eccezione. Il website spoofing รจ un tipo di cyberattacco che si basa su siti web fraudolenti. Se finisci su uno di questi siti, potresti perdere la tua identitร o danneggiare il tuo dispositivo. Supponiamo che tu stia cercando di acquistare un pallone da calcio online. Dopo aver cercato in giro, finalmente trovi quello che desideri. Mentre procedi con il processo di check-out, ti accorgi che il sito web sembra un poโ strano. Nonostante abbia il marchio di un negozio ben noto, noti alcune immagini sfocate e errori grammaticali. Questo รจ un esempio di un sito spoofed. Contromisure: Prima di acquistare qualsiasi cosa online, controlla due volte lโURL per confermare di trovarti sul sito web ufficiale del negozio.
- Domain Spoofing. Lo spoofing del dominio, una forma di attacco di phishing, prevede lโimpersonificazione di un individuo o entitร nota utilizzando un dominio di posta elettronica fittizio. Questa tattica ingannevole puรฒ rivelarsi di grande successo, poichรฉ lโe-mail fraudolenta sembra provenire da una fonte legittima. Considera il seguente scenario: ricevi unโe-mail da โsupport@vvmiosito.comโ. A prima vista, questo indirizzo email puรฒ sembrare affidabile. Tuttavia, dopo un esame piรน attento, noterai che la lettera โWโ รจ abilmente costruita da due โVโ. Contromisure: รจ consigliabile controllare attentamente lโindirizzo e-mail del mittente e confrontarlo con lโindirizzo e-mail ufficiale fornito sul sito Web dellโazienda.
- Image Phishing. Lโimage phishing รจ un attacco in cui gli hacker mascherano del codice maligno o diversi tipi di malware utilizzando file immagine. Queste immagini possono essere incluse nel corpo di una email o collegate come allegato. Se si fa clic sullโimmagine, si potrebbe accidentalmente mettere a rischio la propria sicurezza informatica. Le email di image phishing includono immagini e allegati che potrebbero essere allettanti da aprire. Una volta cliccato sullโimmagine, il computer inizierร a scaricare il codice maligno memorizzato allโinterno dellโimmagine. Contromisure: non fare mai clic su o scaricare unโimmagine da unโemail sospetta.
- Search Engine Phishing. Gli attacchi di phishing attraverso i motori di ricerca attirano gli utenti con pagine di prodotti ingannevoli. Mentre i clienti ignari cercano un prodotto online, potrebbero imbattersi in una delle pagine fraudolente dellโhacker visualizzate in modo intelligente su un motore di ricerca. La trappola sta nel fatto che, invece di effettuare un acquisto legittimo, forniscono inconsapevolmente i propri dettagli di pagamento a un truffatore. Ad esempio, una truffa di phishing sui motori di ricerca potrebbe manifestarsi come un sito Web contraffatto che attira gli acquirenti con scarpe firmate fortemente scontate. Sebbene lโofferta possa sembrare irresistibile, รจ fondamentale evitare tali piattaforme, poichรฉ in genere fungono da terreno fertile per le truffe. Contromisure: รจ consigliabile astenersi dal condividere le informazioni di pagamento con siti Web diversi da venditori online affidabili e affidabili.
2) Phishing dei messaggi di Sicurezza da parte di Google
Se ritieni che unโemail di sicurezza che sembra provenire da Google sia falsa, vai direttamente alla pagina myaccount.google.com/notifications. In questa pagina puoi controllare le attivitร recenti di sicurezza del tuo Account Google.
3) Segnalare siti di phishing a Google
- Se pensi di avere trovato un sito di phishing, segnala a google la pagina di phishing.
- Segnalare un sito di phishing visualizzato negli annunci della rete di ricerca Google Se un sito di phishing รจ stato mostrato sotto forma di link sponsorizzato nella tua pagina dei risultati di ricerca, segnalalo contattando AdWords.
- Segnalare un sito o un indirizzo email spacciato come appartenente a Google
- Scopri come evitare e segnalare frodi relative a Google.
4) Come identificare una email di phishing
- Richieste di informazioni personali โ Le aziende legittime NON chiederanno mai le tue informazioni personali tramite email.
- Problema urgente โ Molti truffatori mascherano i loro tentativi di phishing con un avviso urgente, come una violazione dellโaccount, un fallimento del pagamento, la verifica del login o una violazione del copyright. NON fare clic su nessun link e vai direttamente al sito web per verificare.
- Link abbreviati โ I link abbreviati o condensati sono modi per nascondere gli URL dannosi. Servizi come Bitly o TinyURL possono nascondere lโindirizzo web effettivo al quale il link ti porterร .
- Indirizzi email non di dominio โ Gli indirizzi email fraudolenti spesso utilizzano fornitori di terze parti o varianti dei domini email legittimi (ad esempio, @upguardnow.com invece di @upguard.com). Fai sempre hover sullโindirizzo email del mittente per assicurarti che corrisponda al nome dellโutente o dellโazienda.
- Errori di ortografia e grammatica โ Qualsiasi errore di ortografia o problema di grammatica in una email dovrebbe far scattare un segnale di allarme. I truffatori spesso provengono da paesi non anglofoni.
- Discrepanze nei nomi di dominio: Gli indirizzi e-mail e i domini web possono presentare delle incongruenze. Ad esempio, se ricevi unโe-mail che afferma di provenire da un marchio ben noto, lโindirizzo e-mail potrebbe non corrispondere.
- Saluti poco familiari: A volte, lo stile di un saluto o di una chiusura puรฒ essere un indizio che qualcosa non va. Fai attenzione a qualcuno che di solito apre i messaggi con โCiao!โ e improvvisamente usa โCaro amicoโ al posto di esso. Oppure che termina il messaggio in modo brusco o formale quando prima aveva iniziato in modo informale.
- Troppo breve e concisa: le e-mail di phishing spesso forniscono poche informazioni, facendo affidamento sullโambiguitร per confondere il giudizio delle vittime. Se mancano troppe informazioni importanti, potrebbe essere un segnale di un tentativo di phishing.
- Richieste insolite: una e-mail che ti chiede di fare qualcosa di insolito, specialmente senza spiegazioni, รจ un grande campanello dโallarme. Ad esempio, un tentativo di phishing potrebbe affermare di provenire dal tuo reparto IT, chiedendoti di scaricare un file senza specificare il motivo.
- Allegati di file โ A meno che la fonte non sia verificata, una buona regola generale รจ quella di non aprire mai gli allegati, soprattutto se hanno estensioni .exe, .zip e .scr. La maggior parte delle aziende ti indirizzerร al loro sito web per scaricare file o documenti.
Immagine singola o vuota โ Se lโemail รจ una schermata di unโemail o una casella vuota senza testo reale, NON fare clic sullโimmagine. Il codice malware potrebbe essere collegato allโimmagine e potrebbe attivare un download automatico.
5) Come segnalare una email di Phishing a Google
Quando identifichiamo unโemail come potenziale messaggio di phishing o messaggio sospetto, potremmo mostrarti un avviso o spostarla nella cartella Spam. Se noti che unโemail non รจ stata contrassegnata correttamente, applica la procedura seguente per contrassegnarla come phishing oppure come affidabile.
Importante: quando sposti manualmente unโemail nella cartella Spam, Google riceve una copia dellโemail e degli eventuali allegati. Google potrebbe analizzare queste email e questi allegati per proteggere gli utenti da spam e abusi.
- Sul computer, apri Gmail.
- Apri il messaggio.
- Accanto a Rispondi
, fai clic su Altro
.
- Fai clic su Segnala phishing.
6) Come proteggersi dagli attacchi di phishing
Ecco una lista di consigli:
1. Riconosci gli indizi: Fai attenzione a segnali come saluti o toni non familiari, messaggi indesiderati, errori grammaticali e ortografici, senso di urgenza, offerte incredibili, collegamenti o allegati sospetti, richieste di informazioni personali, incoerenze negli indirizzi email o collegamenti, ecc.
2. Evita di rispondere: Quando hai dei dubbi, evita di rispondere. Rispondere a un messaggio sospetto nella tua casella di posta elettronica informa lโautore dellโemail che il tuo indirizzo รจ attivo.
Intermezzo promozionale ... continua la lettura dopo il box:
3. Evita di cliccare su collegamenti e allegati. Quando si riceve un messaggio da un mittente sconosciuto, รจ meglio evitare di aprire collegamenti e allegati poichรฉ potresti finire su un sito web non sicuro o mettere il tuo dispositivo a rischio di malware se viene installato qualcosa di malevolo.
4. Utilizza una rete privata virtuale (VPN). Alcuni attacchi di phishing sfruttano reti Wi-Fi pubbliche non sicure per accedere alle tue informazioni private. Per proteggerti, utilizza una VPN come NordVPN che puoi ottenere con un fantastico sconto per pochi euro al mese se aderisci a questa offerta [ click qui].
5. Attiva il blocco dei popup. Lโutilizzo di un blocco dei popup รจ unโottima misura di protezione per evitare di cliccare accidentalmente su qualcosa progettato per rubare le tue informazioni. Qui le informazioni per bloccare i pop-up su chrome
6. Abilita lโautenticazione a due fattori (2FA). Attivare lโautenticazione a due fattori su tutti i tuoi account online ti offre un ulteriore livello di protezione contro gli attacchi di phishing. In questo modo, anche se un attacco di phishing riesce a scoprire le tue password, i truffatori non saranno in grado di accedere al tuo account, dando a te piรน tempo per reimpostare le tue password. AUTENTICAZIONE A DUE FATTORI : attiviamola su tutti gli account con questa guida
7. Segnala messaggi sospetti: Assicurati di segnalare qualsiasi messaggio sospetto alla tua provider di servizi di posta elettronica ( segnalazione come SPAM o PHISHING ) o al supporto tecnico sul posto di lavoro.
8. Proteggi il tuo computer con un software antivirus a pagamento. Lโutilizzo di un software antivirus puรฒ aiutarti a rilevare attivamente gli attacchi di phishing e fornire tecniche di mitigazione per gli attacchi riusciti. Noi utilizziamo bitdefender e lo puoi installare anche tu con un grande sconto a questo [ link ].
9. Contatta immediatamente la tua istituzione finanziaria se qualcosa sembra fuori posto. Tutti gli istituti di credito consigliano vivamente di segnalare qualsiasi email sospetta se sono state compiute delle azioni come il click su di un link che potrebbe aver aperto un sito simile a quello della vostra banca ma essere fraudolento. Le banche si impegnano a garantire la sicurezza finanziaria dei propri clienti e hanno implementato ampie misure di sicurezza e sistemi di prevenzione delle frodi per evitare che i titolari delle carte cadano vittima di frodi con carte di credito e transazioni non autorizzate
10. Lโazione tempestiva รจ la miglior protezione: Nonostante gli sforzi dei titolari delle carte di credito, a volte le carte possono essere smarrite o rubate. In questi casi, รจ fondamentale segnalare immediatamente lโincidente allโemittente della carta.
11. In caso di incidente di sicurezza, รจ consigliabile tenere una registrazione scritta e stampata oltre che digitale. Documenta quando hai notato per la prima volta lโattivitร fraudolenta e i passi che hai intrapreso in risposta, inclusi i nomi delle persone con cui hai parlato e le date di tali interazioni. Inoltre, si consiglia di presentare una denuncia alle forze dellโordine locali. Polizia Postale : come denunciare un reato โ leggi articolo informativo.
SCARICA SUBITO IL MIGLIORE ANTIVIRUS AL MONDO [ installa Bitdefender con un click qui ]
Informatica in Azienda diretta dal Dott. Emanuel Celano
Invia questo messaggio ai tuoi amici. I pulsanti di condivisione sono qui sotto :