3 semplici consigli per tenersi alla larga da questa stagione di phishing

Per gli utentiProtezione dei datiSophosLabsSpam

E’ ufficialmente iniziata la stagione più calda dello shopping. Ecco alcuni suggerimenti per aiutare voi, i vostri amici e parenti a non cadere nella trappola del phishing.

E’ ufficiale! Stiamo entrando in alta stagione.

Black Friday, Cyber Monday, Natale, Capodanno – è l’inizio di una lunga stagione del dare e ricevere, acquistare e vendere, visitare negozi e andare online per fare shopping qua e là.

Probabilmente state cercando cose che non comprate ogni giorno in negozi che di solito non frequentate.

Quindi, se acquistate in un negozio, potete aspettarvi di essere oggetto di numerose attività online, via SMS, web ed email – fatture, ricevute, conferme, consegne, riconoscimenti …

… e questo solo per le cose che avete già comprato.

Oltre a tutto ciò, riceverete un numero incredibile di offerte speciali, richieste e non, attese e inaspettate, autentiche e menzognere.

La maggior parte dei nostri lettori è fortemente interessata alla sicurezza informatica, nonché parzialmente o totalmente responsabile della sicurezza sul lavoro o a casa (o, più probabilmente, di entrambe).

Quindi, anche se voi riuscite a individuare un phish a 100 passi, potreste dire lo stesso dei vostri amici, familiari e colleghi?

Abbiamo pensato che potesse essere d’aiuto creare una breve “storia in immagini” per aiutarvi a spiegar loro di cosa si tratta.

Ecco qui.

Sul viale dei ricordi

Ecco un phish di alcuni anni fa, quando i criminali si sono resi conto che ottenere la vostra password email equivaleva ad ottenere le vostre credenziali bancarie – o forse anche meglio, dato che la vostra password email è spesso la chiave per reimpostare le password su dozzine di altri account:

Anche se potrete vedere ancora phishing come questo, per gli standard odierni è piuttosto sospetto – in termini gergali, potreste chiamarlo “da dilettanti”.

Niente di tutto ciò ha senso – ha un aspetto non professionale, utilizza colori che Outlook.com non usa, menziona un limite di posta che non esiste, ed è redatto in un inglese da analfabeti e mal scritto.

Sfortunatamente, non si può fare affidamento sul fatto che ogni truffatore sia così rozzo, quindi spesso vi troverete di fronte a phishing molto più credibili – tecnicamente e visivamente.

In altre parole: “sembra spazzatura” è una buona regola per sbarazzarsi di spam e truffe, ma “sembra OK” non basta da sola per accettare una e-mail o una pagina web.

KISS

Alcuni criminali si sono resi conto che quanto più corto, dolce e semplice si mantiene un attacco, tanto più si rivela soddisfacente, come questa campagna di truffa SMS dall’Australia:

Vedete cosa hanno fatto?

Gli SMS sono così brevi che è facile produrre un messaggio grammaticalmente corretto, specialmente se tutto il messaggio dice “Hai un messaggio”.

Peggio ancora, gli SMS, come i tweet, contengono spesso collegamenti Web abbreviati per risparmiare spazio, rendendo più facile per i criminali far passare un dominio dannoso come sicuro.

Non abbiate fretta di cliccare, soprattutto se il messaggio afferma di riguardare un servizio che già usate.

Dopo tutto, se la tua banca vi invia un messaggio in merito a un messaggio, non avete bisogno di un link perché sapete già come arrivare alla pagina giusta sul vostro sito web bancario.

Bell’aspetto

A volte, i truffatori si sforzano un po’ di più rispetto all’esempio di Outlook.com che abbiamo mostrato sopra.

Ecco alcuni esempi recenti delle nostre spamtraps in cui i truffatori hanno “preso in prestito” le icone e il sapore visivo di uno dei marchi di computer più popolari al mondo, Apple:

Fortunatamente, anche questi imbroglioni non hanno fatto le cose con tutta la cura che avrebbero potuto usare, ma se sei di fretta, o non sei un madrelingua inglese, questi messaggi sembrano abbastanza probabili.

Ma non affrettiamoci – comportiamoci come suggerisce Staysafeonline.org: Fermati. Pensa. Collegati.

Prova a usare questa questa logica:

  • Se questi messaggi sono veri, non è necessario fare clic: è possibile accedere manualmente al sito Web di Apple o aprire l’app AppStore.
  • Se i messaggi non sono veri, non si desidera fare clic, per ovvi motivi.
  • Pertanto, vero o falso, la vostra migliore opzione è non cliccare.

Facile, non è vero? Non fate clic!

Clicca per cancellare

Alcuni imbroglioni adottano un approccio più sottile di quello che vi minaccia con un problema generico legato al vostro intero account.

Essi fingono di aver elaborato una transazione specifica, spesso per un importo abbastanza modesto (ma non così piccolo da poterlo ignorare) …

… e sotto la fattura, forniscono un pulsante per contestare o annullare la transazione se ritenete che sia fraudolenta.

Si è tentati di dare un’occhiata “nel caso in cui”, soprattutto se si sono recentemente acquistati oggetti tramite Apple e ci si chiede se questo potrebbe essere uno di quelli di cui vi siete dimenticati, o se siete preoccupati che i propri figli abbiano speso i vostri soldi sull’AppStore a vostra insaputa.

Non fatelo!

Non fate clic anche se l’acquisto è uguale o simile a quello che avete fatto.

Un noto consiglio suggerisce di posizionare il mouse sul link che state per cliccare, facendo apparire una casella che mostra dove state per andare, per aiutarvi a verificare in anticipo se vi state collegando ad un sito reale come apple.com o a un impostore che non ha nulla a che fare con Apple.

Abbiamo un approccio più semplice: ignorare del tutto ogni collegamento in qualsiasi e-mail come questa, esattamente per i motivi che abbiamo elencato qui sopra.

Se la transazione è reale, la troverete accedendo al vostro account Apple senza alcuna assistenza via email, quindi non c’è motivo di fare clic.

Se la transazione è falsa, non ha senso fare clic.

Nel dubbio …

Per lasciarvi con alcuni messaggi brevi e semplici che potete dare ai vostri amici e familiari in questo periodo festivo:

  1. Per informazioni personali. In caso di dubbio, non datele.
  2. Per i collegamenti Web. In caso di dubbio, non connettetevi.
  3. Per i moduli del sito Web. In caso di dubbio, non compilateli.

 

*Tratto dall’articolo 3 simple tips to stay off the hook this phishing season di Paul Ducklin, Naked Security

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...