Expanding to the Middle East with Precast Group
Maggio 5, 2020
Campagne di phishing
Maggio 12, 2020
“Congratulazioni! Hai appena vinto 30 milioni di euro – segui il link per incassare” diceva il messaggio che ho ricevuto la settimana scorsa. Onestamente, era un po’ difficile crederci; ad ogni modo, usare le emozioni umane è una pratica molto usata dai cyber criminali.
Le tecniche che vengono utilizzate sono prese in prestito dalla psicologia applicata e nel mondo della sicurezza informatica prendono il nome di social engineering. Giocare con i sentimenti umani, le paure i riflessi è spesso sufficiente per far ottenere all’attaccante le informazioni che cerca.
Con un messaggio di phishing, gli attaccanti cercano di ottenere uno dei seguenti risultati: scoprire le credenziali di accesso della vittima oppure fargli scaricare un malware tramite un collegamento.
Purtroppo, nell’utente medio, il livello di consapevolezza sulle minacce informatiche è piuttosto basso. In questo post descriverò le tecniche principali utilizzate, in modo da aiutare anche gli utenti meno esperti a riconoscere le trappole.
“Leggi subito le nuove direttive per l’emergenza COVID-19 nel tuo comune”
Durante una giornata lavorativa intensa, ricevi e scrivi decine di email. Può essere difficile fare attenzione ad ogni messaggio, sia che tu stia lavorando dall’ufficio che comodamente seduto alla scrivania di casa, in smart working.
Ricevi un’email con un documento allegato o con un link. La scarsa attenzione unita al rispetto per le autorità può convincerti ad aprire l’allegato o a cliccare il link.
“Il tuo account è stato compromesso, cambia subito la password”
Il nostro profilo social o la nostra mailbox sono qualcosa di molto importante per tutti noi. Informazioni riservate, dati aziendali, banking: tutto è online. Tutti saremmo terrorizzati all’idea che queste informazioni possano essere compromesse o pubblicate.
La paura insieme al senso di urgenza è un driver potentissimo e un utente spaventato in una circostanza simile, molto probabilmente seguirebbe il link all’interno dell’email per cambiare la password del servizio, trovandosi su una pagina del tutto identica a quella autentica.
“Notifica di verbale per infrazione sul regolamento comunale della quarantena”
L’emergenza COVID-19 e l’attuale crisi economica, generano giustamente, preoccupazione in molti di noi. In questa situazione, cybercriminali senza scrupoli, inviano messaggi di phishing che simulano notifiche o multe, rapporti dal servizio sanitario nazionale o dal ministero della salute ecc.
La paura può ingannarci e sorprendere il pensiero razionale, generando in noi una risposta emotiva dettata dall’insicurezza. Questo è esattamente quello che vogliono i cybercriminali.
“Il tuo messaggio non è stato consegnato”
Ricevi un’email del genere e subito ti chiedi di quale messaggio si tratti. E se fosse qualcosa di importante?
La curiosità è un altro driver che spesso non ci fa agire razionalmente, molte persone cliccherebbero sul link anche se non hanno inviato email di recente. Questo infatti, è uno dei messaggi di phishing più diffusi.
“La tua casella di posta è quasi piena”
Oh No! Non è mai il momento giusto per ricevere un messaggio simile. Hai fretta, stai facendo due cose insieme e nel frattempo sei in call con i colleghi.
Segui il link e trovi la tua finestra di login ad aspettarti, quindi senza pensarci un attimo, inserisci la tua password …e zac ti hanno rubato le credenziali!
Raccomandazioni
- Non seguire istruzioni all’interno delle email senza riflettere. In particolare sospetta sempre di tutte le email che richiedono un’interazione da parte tua (clicca qui, apri l’allegato)
- Se ti stai chiedendo perché hai ricevuto un messaggio o chi ti sta scrivendo, quasi sempre è meglio cancellarlo
- Qualsiasi autorità che voglia notificarti qualcosa, lo farà tramite posta raccomandata (a meno che tu non abbia una casella PEC attiva)
- Non cliccare su link sospetti all’interno dei messaggi, anche se arrivano da un mittente noto, se hai dubbi, chiama e verifica.
- Non avere fretta, non farti ingannare dall’urgenza, prendi il tempo necessario a verificare l’autenticità di un messaggio che richiede un’azione da parte tua.
