Per fermare le frodi di phishing, bisogna partire dalla consapevolezza che i criminali online hanno una buona idea di come usiamo internet.
Inviando campagne di spam in continuazione e osservando ciò che funziona, operano come scienziati comportamentali. E quello che scoprono sul nostro comportamento può essere inquietante.
Dai uno sguardo a queste e-mail di spam, che gli F-Secure Labs hanno recentemente identificato come parte di un’enorme campagna che usa file ZIP per distribuire ransomware GandCrab:
Non è molto complicato, vero?
Solo una riga nell’oggetto, una emoticon e un file zip travestito da immagine. Se clicchi su questo allegato zip potresti vedere questo:
È tutto qui e funziona. Lo spam che diffonde le frodi di phishing continua ad aumentare dopo oltre 30 anni in cui ci ha causato problemi: questo perché è efficace e facile.
Dovresti sempre disporre di un software di sicurezza di prim’ordine per bloccare queste minacce. Ma c’è altro che puoi fare. La tua mente è come un sistema operativo e devi proteggerti dalle frodi di phishing. Ecco cinque cose da tenere a mente per impedirti di diventare una vittima.
1. Ricorda che sei tu la tua più grande vulnerabilità
Le frodi di phishing non possono funzionare senza il tuo aiuto.
Una truffa di phishing di successo richiede in genere almeno due clic: l’apertura dell’email e il clic su un link o un allegato. Di solito ci sono passaggi aggiuntivi che determinano il tuo destino, come fare clic su “Abilita contenuto” per consentire al ransomware di infettarti o di riempire con i tuoi dati privati un modulo truffaldino.
Ogni step in più può rendere la truffa meno efficace. Ma le email di phishing vengono inviate in grandi quantità, il che significa che solo una piccola percentuale deve funzionare per ripagare i criminali.
2. Allenati a non cliccare sulle email.
Alcune frodi di phishing sono molto mirate, conosciute anche come spearphishing, oppure potrebbero essere mirate perché vengono inviate dagli account compromessi di tuoi amici e colleghi.
Tutto ciò che migliora la credibilità di una email aiuta la truffa, quindi molto spesso le truffe vengono inviate attraverso email che sembrano provenire da grandi marchi di cui ti fidi e da cui magari attendi una consegna o una comunicazione, come Amazon, la tua banca o FedEx.
È probabile che saremo tutti ingannati, alla fine. Puoi ridurre le probabilità che il tuo errore sia troppo costoso insegnando a te stesso come regola di evitare di fare clic su qualsiasi cosa sia presente nelle email. Allenarsi almeno a mettere in discussione il clic è un modo potente per evitare di diventare una vittima.
3. Ricorda che stanno giocando con le tue emozioni.
Pensi di aver vinto qualcosa quando vedi questo?
Hai solo vinto (ahimè) un PDF infettato.
“Forse è successo qualcosa di brutto”, ha detto Janne Kauhanen, ospite del podcast Cyber Sauna. “Forse è successo qualcosa di eccezionale.”
Le truffe di phishing alimentano il nostro desiderio di grandi notizie e la nostra paura di brutte notizie.
Anche i criminali sanno che probabilmente stiamo aspettando qualcosa che ci è stato spedito. E anche se non ci aspettassimo qualcosa, potremmo pur sempre ricevere un regalo, no? Già.
Qualsiasi cosa inaspettata, buona o cattiva, può accendere la nostra curiosità e spingerci a fare un clic quando non dovremmo. La consapevolezza che le frodi di phishing ci stanno prendendo di mira non è sufficiente, ma insegnare a noi stessi a interrogarci su chi ci sta portando cattive o buone notizie è una tattica intelligente.
4. Attenzione all’urgenza.
Qualsiasi email che ti chieda di fare clic subito dovrebbe attivare la tua sirena di allerta personale.
Una campagna di spam identificata dagli F-Secure Labs utilizzava l’elemento “fatture”, che per definizione è sensibile al fattore tempo. Un’altra aveva come oggetto un reclamo contestato da American Express. Anche questo sembrava urgente!
Se dicono che è urgente, fai una cosa intelligente: non fare clic. Prendi il telefono per chiamare il presunto mittente per vedere se è una truffa. Nel momento in cui inizi a digitare, potresti scoprirlo purtroppo da solo.
5. Mettiti alla prova.
Ancora una volta, la consapevolezza non basta. Dobbiamo fare pratica, ogni giorno. In un certo senso lo facciamo, ogni volta che apriamo la nostra casella di posta. Ma dovremmo anche esercitarci dove la posta in gioco non è così alta e le truffe non sono facili da individuare.
Mettiti alla prova con questo test di phishing di Google.
Categorie