Le tecniche di phishing sono diventate sempre più subdule ed insidiose. Scopri le ultime pericolose tecniche e impara a riconoscerle e difenderti.
Il phishing consiste nell’invio di e-mail, SMS o messaggi istantanei contenenti link o allegati finalizzati a trarre in inganno chi li riceve.
Di solito sono messaggi inviati in gran numero, a decine di migliaia di persone, per cercare di «pescare» nel mucchio, proprio come una pesca a strascico, le persone più impreparate al fine di ingannarle.
Non rispondere a messaggi di posta elettronica che richiedono la verifica delle proprie credenziali per l’accesso ai servizi finanziari (di banche o altri istituti finanziari).
In italiano potrebbe essere tradotto come "pesca con l'arpione" e rappresenta una specifica tecnica di phishing mirato a una determinata persona o c ategoria di persone: il testo sembra proprio scritto per dialogare con quell’individuo, ed è stato forgiato ad hoc. Proprio per questo è ancora più pericoloso.
In questo caso si parla di "caccia alle balene". Si tratta di una forma di phishing mirato ai "pesci grossi", cioè mirato ai vertici aziendali.
Il truffatore invia una o più email di spoofing (mittente contraffatto) assumendo fraudolentemente l'identità di un vertice aziendale (CEO) o di un cliente importante. L'obiettivo è sempre quello di trasferire somme di denaro sul conto corrente del truffatore.
Verifica se hai compreso. Rispondi alla domanda...
Un tipico caso è quello del truffatore che scrive al Direttore Finanziario fingendosi il CEO dell'azienda, chiedendo con una certa urgenza un favore, quasi a titolo personale. Chiede di effettuare il pagamento di un considerevole importo utilizzando le coordinate bancarie di un beneficiario non ben identificato.
Nella prossima slide un esempio di email di "Frode del CEO"...
Il senso di urgenza, la minaccia di una figura autoritaria, o la richiesta casuale di aiuto sono tecniche utilizzate per farti fare azioni avventate. Riconosci queste sensazioni e verifica sempre con il mittente.
Questa truffa utilizza schemi sofisticati e complessi per deviare il pagamento di fatture su un conto bancario controllato dall'aggressore.
Un caso tipico è quello dell'aggressore che assume l'identità di un legittimo fornitore dell’azienda, richiedendo che i pagamenti delle fatture siano effettuati utilizzando nuove coordinate bancarie (che sono ovviamente quelle dell'aggressore).
L'aggressore effettua una ricerca preliminare di informazioni sui fornitori dell'azienda. Invia quindi email contraffatte con richieste di pagamento. L'indirizzo del mittente viene contraffatto con una tecnica chiamata "email spoofing".
Nella prossima slide un esempio di email di "Frode del falso fornitore"...
Questo tipo di attacco mira a trasferire fondi sul conto controllato dall'attaccante o ottenere informazioni aziendali sensibili. L'aggressore contatta direttamente il dipendente spacciandosi per avvocato, affermando di essere coinvolto in un caso importante per l'azienda: non c'è tempo per fallire! E il processo si svolge fino a quando la richiesta non viene soddisfatta dal dipendente.
Nella prossima slide un esempio di email di "Truffa del falso legale"...
Questa variante di phishing utilizza il telefono al posto della e-mail. Un caso classico è il truffatore che, spacciandosi per un operatore di call center, guadagna la fiducia della vittima per poi chiederle le credenziali di accesso al conto bancario.
Questa forma di phishing utilizza SMS e messaggi istantanei per veicolare la truffa. Per esempio la vittima riceve un messaggio che informa di un problema sul account bancario e un link da cliccare per risolvere il problema. Il link porta a un sito fasullo che intercetta le credenziali della vittima.
Questa tecnica utilizza i QRCode, sempre più diffusi. Spesso il truffatore copre il vero QR code con un codice che dirotta il malcapitato a un link fasullo, costruito per rubare le credenziali di accesso.
Il modo migliore per individuare una truffa di phishing è ascoltare il tuo istinto. Se qualcosa appare strano, verifica direttamente con il presunto mittente se il messaggio è originale.
