Phishing è la parola che viene usata quando un cybercriminale invia una sorta di messaggio elettronico per indurci a fare qualcosa che mina la nostra sicurezza.
La metafora “phishing” si riferisce all’idea di farci abboccare all’amo e poi tirarci su come un pesce.
I criminali che si nascondono dietro questo tipo di crimine, noti in modo colloquiale come phishers, usano di solito l’email, perché è sorprendentemente facile simulare messaggi che sembrino realistici.
Gli attacchi di phishing possono anche arrivare tramite social media, SMS o altre piattaforme di messaggistica istantanea.
Ecco alcuni esempi dei trucchi usati dai phishers:
- Ricevete una fattura dettagliata di un modesto acquisto da un sito online ben noto, completo di loghi rubati e testo copiato da una fattura originale. Nella parte inferiore c’è un link o un pulsante legittimo per [Contesta questo addebito] o [Fai una domanda su questo acquisto]. Sapete che non avete comprato niente, quindi siete inclini a fare clic e ad accedere. Ma se lo fate, vi ritrovate su una falsa pagina di login e la vostra password finisce nelle mani dei criminali.
- Ricevete un’e-mail da qualcuno che apparentemente si candida per un lavoro che è attualmente pubblicizzato sul vostro sito web aziendale. Allegato all’email c’è un file che sembra un documento contenente un curriculum. La vostra inclinazione è quella di aprirlo, ma se lo fate, inavvertitamente eseguite un file trappola che consente ai criminali di impiantare un malware sul vostro computer.
- Ricevete un’e-mail di marketing che vi invita a partecipare a un sondaggio realistico in cambio di una chance di vincere un voucher di shopping o un iPhone o una vacanza. La vostra tendenza è quella di compilarlo, ma lungo il percorso vi viene chiesto di fornire i dati personali che normalmente dovreste tenere per voi, come il vostro compleanno, il vostro indirizzo di casa o i vostri dettagli della carta di credito.
Cosa fare?
Il phishing può essere difficile da individuare perché i phishers non sempre fanno errori di battitura o di grammatica.
I phishers possono essere a conoscenza del vostro nome e del vostro indirizzo reale quindi non sempre iniziano il loro messaggio con Egregio Signore/Gentile Signora o non usano indirizzi generici come Italia.
Ecco alcuni suggerimenti per evitare di essere raggirati:
- Non inserite password nelle pagine di accesso che vengono visualizzate dopo aver fatto clic su un collegamento in un messaggio di posta elettronica. Salvate nei preferiti le pagine di accesso ufficiali dei vostri siti preferiti o digitate gli URL dalla memoria del vostro browser.
- Evitate di aprire allegati nei messaggi di posta elettronica da destinatari che non conoscete, anche se lavorate alle risorse umane o utilizzate molto gli allegati nel vostro lavoro.
- Impostate un indirizzo email “Chiedi agli esperti” all’interno della vostra organizzazione, ad esempio security@example.com. Questo consente agli utenti un modo rapido di chiedere consigli su email inaspettate e allegati non richiesti.
- In caso di dubbio, non cedete! I vostri dati personali non valgono semplicemente la possibilità minima di vincere un iPad offerto da una società di marketing di cui non avete mai sentito parlare.
Tratto dall’articolo “What is… phishing” di Bill Brenner