È in aumento l’allarme phishing, la trappola informatica che tramite allegati o link fraudolenti inviati per posta elettronica ha l’intento di carpire dati personali e credenziali di accesso a importanti servizi online, come ad esempio l’home banking. Secondo recenti ricerche, grazie a questa tecnica negli ultimi mesi ben 4 Italiani su 10 ne sono stati colpiti. Queste mail fraudolente, nella peggiore delle situazioni, hanno l’intento di cercare di installare sul computer delle ignare vittime i famigerati cryptolocker, particolari forme di virus molto devastanti in grado di criptare i nostri dati con il solo scopo di richiedere un riscatto per avere la chiave di decriptazione.
È quindi fondamentale essere a conoscenza di queste minacce per cercare di prevenire il peggio.
Dunque vediamo allora cinque semplici consigli per evitare di cadere nella trappola del phishing.
Massima prudenza durante la navigazione online
Questo primo consiglio potrebbe sembrare banale e assai scontato, ma non lo è affatto. Il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione web e nel leggere la posta elettronica. Ad esempio, mai cliccare in automatico su link, non solo nella mail ma anche nei social media, scaricare file o aprire allegati di posta elettronica, anche se sembrano provenire da una fonte nota e attendibile.
Dubbi su un messaggio di posta? Meglio Leggerlo una seconda volta
I messaggi contenenti phishing sono spesso evidenti e identificarli è abbastanza semplice. Nella maggior parte dei casi presentano molti errori grammaticali e di punteggiatura, parole interamente scritte in maiuscolo e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo “Gentile cliente”, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste mail, a volte anche intenzionalmente per superare i filtri antispam dei provider.
Attenzione ai link abbreviati
É importante fare attenzione ai collegamenti ipertestuali abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l'utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Il consiglio è quello di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito indicato dal testo o dall’immagine rappresentante, o se al contrario potrebbe indirizzare verso altre destinazioni tutt’altro che innocue.
I criminali informatici possono usare questi siti “falsi” per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
Navigare sicuri sul protocollo HTTPS
Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare, indicato da https: // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser, soprattutto quando si trasmettono online delle informazioni sensibili come ad esempio i dati della carta di credito. In questo modo siamo sicuri che in caso venga intercettata la comunicazione questa è criptata e quindi diventa ben più difficile cercare di carpire i nostri dati sensibili.
Si dovrebbe evitare di usare una rete Wi-Fi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del nostro dispositivo. In futuro sarà sempre più facile individuare i siti non sicuri, infatti la stessa Google ha iniziato a segnalare ai suoi utenti i siti che non offrono una protezione adeguata.
Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Per citare un caso, che è un’eccezione a questa regola, in passato eBay ha chiesto ai propri clienti di modificare le password rapidamente dopo aver subito una violazione dei dati. Questa però, come già detto, è una eccezione alla regola; di solito, le minacce, l'urgenza, soprattutto se provenienti da aziende estremamente famose, sono un segno di phishing.
Alcune di queste minacce possono includere le comunicazioni su una contravvenzione, o di reinserire le proprie credenziali per sbloccare il proprio conto. Bisogna ignorare queste tattiche intimidatorie e contattare il mittente privatamente attraverso altri canali.