COme identificare, Evitare e difenderti da attacchi di phishing
Questa guida ti aiuterà a identificare gli attacchi di phishing
Seguendo passo-passo le istruzioni sarai in grado di riconoscere gli attacchi e difendersi da essi utilizzando tecniche semplici e pratiche
SCHEDA TECNICA
Versione
1.0
Licenza
Livello utente
principiante
Tempo richiesto
5-10 minuti
Ultima recensione
Novembre 2022
INDICE
Considerazioni preliminari
Sul percorso per migliorare la tua sicurezza digitale, potresti imbatterti in cattivi attori che tentano di minare i tuoi obiettivi di sicurezza. Chiamiamo questi cattivi attori avversari. Quando un avversario invia un'email o un link che sembra innocente, ma in realtà è dannoso e si chiama phishing.
Un attacco di phishing di solito si presenta sotto forma di un messaggio destinato a convincerti a:
cliccare su un link;
aprire un documento;
installare il software sul tuo dispositivo; o
inserire il tuo nome utente e password in un sito web fatto per sembrare legittimo.
Gli attacchi di phishing possono indurti a rivelare le tue password o indurti a installare malware sul tuo dispositivo. Gli aggressori possono usare il malware per controllare a distanza il tuo dispositivo, rubare informazioni o spiarti.
Tipi di attacchi di phishing
Phishing per password (raccolta di credenziali)
I phisher possono indurti a dare loro le tue password inviandoti un link ingannevole. Gli indirizzi Web in un messaggio potrebbero sembrare avere una destinazione, ma portare a un'altra. Sul tuo computer, puoi solitamente vedere l'URL di destinazione passando con il mouse sopra il link. Ma i collegamenti possono essere ulteriormente mascherati con lettere simili, o usando nomi di dominio che si differenziano di una sola lettera dai nomi di dominio legittimi e possono indirizzarti a una pagina web che sembra andare a un servizio che normalmente usi, come Gmail o Dropbox. Queste schermate di login di falsi duplicati sembrano così legittime che si sta tentando di digitare il nome utente e la password. Se lo fai, invierai le credenziali di accesso agli aggressori.
Quindi, prima di digitare qualsiasi password, guarda la barra degli indirizzi del tuo browser web. Mostrerà il vero nome di dominio della pagina. Se non corrisponde al sito in cui pensi di accedere, non continuare! Ricorda che vedere un logo aziendale sulla pagina non conferma che sia reale. Chiunque può copiare un logo o un disegno sulla propria pagina per cercare di ingannarti.
Alcuni phisher utilizzano siti che sembrano indirizzi Web popolari per ingannare, come ad esempio: https://wwwpaypal.com/ è diverso da https://www.paypal.com/. Allo stesso modo https://www.PaypaI.com/ (con una lettera maiuscola "i" anziché una "L" minuscola) è diversa da https://www.paypal.com/. Molte persone utilizzano gli abbreviazioni URL per semplificare la lettura o la digitazione degli URL lunghi, ma questi possono essere utilizzati per nascondere destinazioni dannose. Se ricevi un URL abbreviato come un link t.co da Twitter, prova a inserirlo in https://www.checkshorturl.com/ per vedere dove sta andando veramente.
Ricorda, è facile falsificare le e-mail in modo che visualizzino un indirizzo di ritorno falso. Ciò significa che il controllo dell'indirizzo email apparente del mittente non è sufficiente per confermare che un'e-mail sia stata realmente inviata dalla persona da cui sembra provenire.
Spearphishing
La maggior parte degli attacchi di phishing lancia una vasta campagna in rete. Un utente malintenzionato potrebbe inviare e-mail a centinaia o migliaia di persone che affermano di avere un video eccitante, un documento importante o una controversia sulla fatturazione.
Ma a volte gli attacchi di phishing sono mirati in base a qualcosa che l'hacker già conosce su un individuo che sta attaccando. Questo è chiamato "spearphishing". Immagina di ricevere un'email da tuo zio Boris che dice che contiene le foto dei suoi figli. Dal momento che Boris in realtà ha figli e sembra che provenga dal suo indirizzo, lo apri. Quando apri l'e-mail, è allegato un documento PDF. Quando apri il PDF, potrebbe persino visualizzare immagini dei figli di Boris, ma installa anche silenziosamente il malware sul tuo dispositivo che può essere usato per spiarti. Lo zio Boris non ha inviato quell'e-mail, ma qualcuno che ti conosce ha uno zio Boris (e che ha figli). Il documento PDF su cui hai fatto clic ha avviato il tuo lettore PDF, ma ha sfruttato un bug in quel software per eseguire il proprio codice. Oltre a mostrare un PDF, ha scaricato anche malware sul tuo computer. Il malware potrebbe recuperare i tuoi contatti e registrare ciò che la videocamera e il microfono del tuo dispositivo vedono e ascoltano.
Il modo migliore per proteggersi dagli attacchi di phishing è non fare mai clic su alcun collegamento o aprire alcun allegato. Tuttavia, questo consiglio è irrealistico per molte persone. Di seguito sono riportati alcuni modi pratici per difendersi dal phishing.
Come aiutare a difendersi da un attacco diphishing
Tieni aggiornato il tuo software
Attacchi di phishing che utilizzano malware spesso si affidano a bug del software per ottenere il malware sul proprio computer. Di solito, una volta che un bug diventa noto, un produttore di software rilascerà un aggiornamento per risolverlo. Ciò significa che il software più vecchio ha bug più noti pubblicamente che potrebbero essere utilizzati per aiutare a installare malware. Mantenere aggiornato il software riduce i rischi di malware.
Utilizzare un gestore di password con auto-riempimento
I gestori di password che compilano automaticamente le password tengono traccia dei siti a cui appartengono tali password. Mentre è facile per un essere umano essere ingannato da false pagine di login, password i password manager non sono ingannati allo stesso modo. Se si utilizza un gestore di password (incluso il gestore delle password incorporato nel browser) e si rifiuta di compilare automaticamente una password, è necessario esitare e ricontrollare il sito su cui si trova. Meglio ancora, usare una password generate casualmente in modo tale che sei costretto a fare affidamento sul riempimento automatico e meno probabilmente a digitare la tua password in una pagina di accesso falsa.
Verifica le email con i mittenti
Un modo per determinare se un messaggio di posta elettronica è un attacco di phishing è controllare tramite un canale diverso con la persona che presumibilmente lo ha inviato. Se l'email è stata presumibilmente inviata dalla tua banca, non fare clic sui link nell'email. Invece, chiama la tua banca o apri il browser e digita l'URL del sito web della tua banca. Allo stesso modo, se tuo zio Boris ti invia un allegato e-mail, chiamalo al telefono e chiedi se ti ha mandato le foto dei suoi figli prima di aprirlo.
Apri i documenti sospetti in Google Drive
Alcune persone si aspettano di ricevere allegati da persone sconosciute. Ad esempio, i giornalisti di solito ricevono documenti da fonti. Ma può essere difficile verificare che un documento Word, un foglio di lavoro Excel o un file PDF non siano dannosi.
In questi casi, non fare doppio clic sul file scaricato. Invece, caricarlo su Google Drive o un altro lettore di documenti online. Questo trasformerà il documento in un'immagine o HTML, che quasi certamente gli impedirà di installare malware sul tuo dispositivo. Se sei a tuo agio con l'apprendimento di nuovi software e sei disposto a dedicare del tempo a creare un nuovo ambiente per leggere la posta o documenti sconosciuti, esistono sistemi operativi dedicati progettati per limitare l'effetto del malware. TAILS è un sistema operativo basato su Linux che si cancella dopo averlo usato. Qubes è un altro sistema basato su Linux che separa attentamente le applicazioni in modo che non possano interferire tra loro, limitando l'effetto di qualsiasi malware. Entrambi sono progettati per funzionare su laptop o computer desktop.
È inoltre possibile inviare collegamenti e file non attendibili a VirusTotal, un servizio online che controlla i file e i collegamenti con diversi antivirus diversi motori e riporta i risultati. Questo non è infallibile: spesso l'antivirus non riesce a rilevare nuovi malware o attacchi mirati, ma è meglio di niente.
Qualsiasi file o collegamento caricato su un sito Web pubblico, come VirusTotal o Google Drive, può essere visualizzato da chiunque lavori per quella società o eventualmente chiunque abbia accesso a quel sito Web. Se le informazioni contenute nel file sono comunicazioni sensibili o privilegiate, è possibile prendere in considerazione un'alternativa.
Utilizzare una chiave Universal 2nd Factor (U2F) al Login
Alcuni siti consentono di utilizzare un token hardware speciale con funzionalità avanzate per evitare tentativi di phishing. Questi token (o "chiavi") comunicano con il tuo browser per stabilire le credenziali per l'accesso al sito. Questo è chiamato Universal 2nd Factor o "U2F", perché è un modo standard per richiedere un secondo metodo di autenticazione, oltre al tuo frase d'accesso per effettuare il login. È sufficiente accedere normalmente e (quando richiesto) collegare la chiave al computer o allo smartphone e premere un pulsante per accedere. Se si è su un sito di phishing, il browser saprà di non accedere con credenziali stabilite sul legittimo posto. Ciò significa che anche se un phisher ti inganna e ti ruba la passphrase, non comprometteranno il tuo account. Yubico (un produttore di tali chiavi) fornisce ulteriori informazioni su U2F .
Questo non dovrebbe essere confuso per l' autenticazione a due fattori in generale, che possono o meno fornire protezione anti-phishing.
Prestare attenzione alle istruzioni inviate per e-mail
Alcune e-mail di phishing reclamano di provenire da un dipartimento di supporto informatico o da un'azienda tecnologica e chiedono di rispondere con le password o di consentire l'accesso remoto a un "computer da riparare" o di disabilitare alcune funzionalità di sicurezza sul dispositivo. L'e-mail potrebbe fornire una spiegazione del perché è necessario, sostenendo, ad esempio, che la casella di posta elettronica è piena o che il computer è stato violato. Sfortunatamente, obbedire a queste istruzioni fraudolente può essere dannoso per la tua sicurezza. Presta particolare attenzione prima di fornire dati tecnici a chiunque o seguendo istruzioni tecniche a meno che tu non possa essere assolutamente certo che la fonte della richiesta è autentica.
Se qualcuno ti invia un'e-mail o un link sospetto, non aprire o fare clic su di esso finché non hai mitigato i potenziali rischi con i suggerimenti sopra riportati. Comportandoti in questo modo potrai essere ragionevolmente sicuro che non sia dannoso.