Come riconoscere un attacco phishing

Il phishing è una particolare tipologia di truffa realizzata principalmente attraverso messaggi di posta elettronica ingannevoli.

Attraverso una mail, il più delle volte proveniente da banche o istituti di credito, viene chiesto all’utente di fornire i propri dati di accesso al servizio, riferendo solitamente problemi di registrazione. Il messaggio contiene anche un link che dovrebbe rimandare al sito web del mittente, ma che in realtà si collega a un sito identico a quello originale dove, se l’utente inserisce i propri dati riservati, questi arriveranno direttamente ai truffatori.

Molto spesso queste mail, sempre al fine di carpire dati di accesso a servizi finanziari on-line, possono contenere un virus informatico. La modalità di infezione più diffusa è tramite un allegato al messaggio di posta elettronica che, oltre al classico file eseguibile (exe o script), può arrivare anche tramite documenti Word o PDF. Una volta installatosi nel PC, il virus è in grado di trasmettere ai truffatori le chiavi di accesso dei vostri account.

Questo articolo prende spunto da un recente quiz proposto da ESET, nota azienda produttrice a mio parere di uno dei migliori antivirus del pianeta, dove solo il 40% dei partecipanti è riuscito a identificare correttamente i messaggi di phishing celati all’interno di quattro messaggi di test.

Il test in questione si chiama ‘ESET Phishing Derby’, è a partecipazione gratuita ed è progettato per misurare la competenza nell’identificare i messaggi di phishing. Il sistema di punteggio si basa sulla velocità e sul distinguere correttamente i messaggi.

Su un campione di 4.292 partecipanti, hanno risposto correttamente:

  • il 47% della fascia tra i 18 e i 24 anni;
  • il 45% della fascia tra i 25 e i 44 anni;
  • il 36% della fascia tra i 45 e i 64 anni;
  • il 28% della fascia oltre i 65 anni.

Le continue campagne di sensibilizzazione messe in atto da organizzazioni finanziarie, aziende di cybersecurity e governi stanno certamente facendo un buon lavoro, tuttavia chi confeziona le mail di phishing lo fa sempre meglio e certe mail che arrivano nelle nostre caselle di posta elettronica sono talmente ben realizzate da renderne molto difficile l’identificazione.

La maggior parte delle mail di phishing puntano a ottenere informazioni legate a conti e carte di credito. Il messaggio normalmente avverte di un tentativo di transazione sospetta bloccato e richiede l’accesso urgente per la verifica, quasi sempre tramite un link contenuto nella mail. La paura di una frode sul nostro conto e la reazione emotiva molto spesso portano a cliccare sul link senza pensarci troppo.

Può capitare che queste mail contengano anche dati corretti, il più delle volte reperiti dalle informazioni personali derivanti dalle violazioni dei dati. E’ chiaro che se una mail di phishing arriva con i riferimenti corretti alla carta di credito, magari corredata di nome e cognome del titolare e delle ultime 4 cifre del numero della carta, le probabilità che il destinatario clicchi sul link aumenteranno certamente.

La domanda quindi è: in base ai risultati sopra descritti, quali azioni dovremmo compiere?

Di seguito alcuni semplici consigli per provare a riconoscere una mail di phishing:

  • Se la mail invita a compiere una azione urgente cliccando su un link, prestare la massima attenzione;
  • Passare il cursore del mouse sopra al link in modo da verificare il reale dominio del mittente;
  • Se la mail NON contiene i riferimenti al titolare della carta, è probabile che sia una mail di phishing, la società che ha emesso la carta conosce certamente i dati e in una eventuale mail si rivolgerebbe personalmente al titolare;
  • La mail contiene errori di grammatica e di ortografia. Ultimamente queste mail sono molto migliorate dal punto di vista grammaticale, leggetele con attenzione perché eventuali errori non sempre sono di facile individuazione;
  • Il mittente della mail fa riferimento a una azienda con cui il destinatario non ha mai comunicato;
  • Visitare il dominio contenuto nel link direttamente dal browser e verificare se il mittente coincide con quello della mail;
  • Contattare il mittente per verificare la richiesta.

Se volete provare a misurare le vostre capacità nel riconoscere i messaggi di phishing, potete cliccare su questo link e accedere al test ‘ESET Phishing Derby’.

Gianbruno Panizzutti

Ti potrebbe anche interessare...