Formazione sulla sensibilizzazione al phishing

Introduction to scam

Nel 2021 oltre l'80% degli attacchi informatici è stato di tipo phishing, che si è rivelato essere quindi l’attacco più comune di scam. Google ha scoperto il 21% in più di siti web di phishing rispetto al 2020 per un totale di 2.000.000 di siti web volti a rubare i tuoi dati sensibili!

Description and consequences

Il phishing incentra la sua strategia sui messaggi di tipo email. Ti è mai capitato di ricevere email che ti informano di aver ricevuto un'eredità da un parente sconosciuto o di un aggiornamento della password che non avevi mai richiesto? Questi sono solo alcuni degli esempi più comuni di phishing!

Questi tipi di truffe mirano ad acquisire in modo fraudolento informazioni private e riservate da obiettivi prefissati inviando e-mail truffa, alcune delle quali filtrano abilmente anche attraverso l’antispam.

Gli aggressori inducono in errore le vittime per ottenere informazioni sensibili e riservate. Questa tecnica riguarda siti web falsi, e-mail, pubblicità, antivirus, scareware, PayPal, premi e offerte gratuite e molti altri ancora.

Tutte le e-mail di phishing contengono un allegato o un link (conosciuto come call to action o CTA).

Un allegato può contenere un virus come per esempio un trojan o un ransomware.

Mentre si fa clic su un link apparentemente legale, questo potrebbe portarti su una pagina che ti sembra familiare come ad esempio PayPal e spesso ti richiede di inserire un nome utente e una password che possono essere rubati e usati contro di te da quello che ritieni sia un sito Web legittimo a cui accedi regolarmente.

Why we fall for this cam

Tendiamo ad aprire questo tipo di email perché generano in noi un senso di ansia e paura, abbiamo paura di perdere ingenti somme di denaro o abbiamo paura di perdere l'accesso ai nostri conti finanziari o social.

Prevention (how to not fall for scam)

Detection

Come puoi riconoscere questo tipo di email?

1. Ha per oggetto generalmente: ordini, fatture, spedizioni, account social, tasse e reddito, messaggi di aiuto, questioni legali, eredità e regali, vincite e premi.
2. Inoltre nell'oggetto viene spesso inserito il carattere "r" o "fwd", il che implica che si tratta di una risposta ad un messaggio di richiesta o di un'e-mail inoltrata.
3. Il messaggio è spesso, ma non sempre, scritto male: con errori grammaticali e/o ortografici.
4. Il logo può avere spesso un aspetto strano: ad esempio la riproduzione di un marchio noto in bassa risoluzione o non ben formattato.
5. L'URL del collegamento non corrisponde al brand previsto. Il link non fa riferimento al brand scritto nell'e-mail.
6. Il dominio e-mail del mittente in genere non corrisponde al brand nell'oggetto o nel contenuto.
7. In caso di dubbi sul mittente dell'e-mail, contatta direttamente l'organizzazione che presumibilmente ti ha inviato il messaggio, invece di aprire il link o l'allegato dell'e-mail.
8. Presta maggiore attenzione alla formattazione dell'e-mail per verificare la presenza di errori grammaticali insoliti, loghi granulosi o collegamenti falsi.

Reaction

Cosa fare se ritieni di essere caduto in una truffa di tipo Phishing?

Se, per errore, hai già cliccato sui link presenti nella mail, non inserire nessun dato sensibile e chiudi la pagina! Ricorda: nessuno ti chiederà di inserire i tuoi dati sensibili (cambio password) se non espressamente richiesto da te o se sul tuo account non viene rilevato alcun comportamento anomalo.

Nel caso in cui tu sia caduto vittima di phishing, ecco come puoi mitigarne gli effetti

1. Esegui una scansione completa del tuo dispositivo
2. Parla con l’organizzazione, che pensavi fosse quella che ti contattasse, per esempio la banca e spiega che sei caduto accidentalmente in una trappola di phishing.
3. Modifica le password che utilizzi online
4. Esegui il backup di tutti i tuoi file

Conclusion

Ora sei più preparato a riconoscere questo tipo di attacco! Non essere ansioso quando ricevi un'e-mail urgente!