Come proteggere denaro e dati personali su Internet

2024 Autore: Malcolm Clapton | [email protected]. Ultima modifica: 2023-12-17 04:01

Più sei informato, più è difficile ingannarti. Ecco tutto ciò che devi sapere sul phishing con Microsoft.

Trova altri suggerimenti su come proteggerti dalle minacce digitali.

Cos'è il phishing e quanto è pericoloso

Il phishing è un tipo comune di frode informatica, il cui scopo è compromettere e dirottare account, rubare informazioni sulla carta di credito o qualsiasi altra informazione riservata.

Molto spesso, i criminali informatici utilizzano la posta elettronica: ad esempio, inviano lettere per conto di una nota azienda, attirando gli utenti sul suo sito Web fasullo con il pretesto di una promozione redditizia. La vittima non riconosce il falso, inserisce login e password dal suo account, e così l'utente stesso trasferisce i dati ai truffatori.

Chiunque può soffrire. Le e-mail di phishing automatizzate sono spesso destinate a un vasto pubblico (centinaia di migliaia o addirittura milioni di indirizzi), ma esistono anche attacchi mirati a un target specifico. Molto spesso, questi obiettivi sono i top manager o altri dipendenti che hanno accesso privilegiato ai dati aziendali. Questa strategia di phishing personalizzata si chiama caccia alle balene, che si traduce come "cattura di balene".

Le conseguenze degli attacchi di phishing possono essere devastanti. I truffatori possono leggere la tua corrispondenza personale, inviare messaggi di phishing alla tua cerchia di contatti, prelevare denaro da conti bancari e generalmente agire per tuo conto in senso lato. Se gestisci un'attività, il rischio è ancora maggiore. I phisher sono in grado di rubare segreti aziendali, distruggere file sensibili o divulgare i dati dei clienti, danneggiando la reputazione dell'azienda.

Secondo il Phishing Activity Trends Report dell'Anti-Phishing Working Group, solo nell'ultimo trimestre del 2019, gli esperti di sicurezza informatica hanno scoperto oltre 162.000 siti Web fraudolenti e 132.000 campagne di posta elettronica. In questo periodo, circa mille aziende di tutto il mondo sono diventate vittime di phishing. Resta da vedere quanti attacchi non sono stati rilevati.

Evoluzione e tipi di phishing

Il termine "phishing" deriva dalla parola inglese "fishing". Questo tipo di truffa assomiglia molto alla pesca: l'attaccante lancia l'esca sotto forma di un messaggio o di un link falso e aspetta che gli utenti abbocchino.

Ma in inglese il phishing è scritto in modo leggermente diverso: phishing. Il digrafo ph viene utilizzato al posto della lettera f. Secondo una versione, questo è un riferimento alla parola fasullo ("ingannatore", "truffatore"). Dall'altro - alla sottocultura dei primi hacker, che venivano chiamati phreakers ("phreakers").

Si ritiene che il termine phishing sia stato utilizzato per la prima volta pubblicamente a metà degli anni '90 nei newsgroup Usenet. A quel tempo, i truffatori hanno lanciato i primi attacchi di phishing rivolti ai clienti del provider Internet americano AOL. Gli aggressori hanno inviato messaggi chiedendo di confermare le proprie credenziali, spacciandosi per dipendenti dell'azienda.

Con lo sviluppo di Internet sono comparsi nuovi tipi di attacchi di phishing. I truffatori hanno iniziato a falsificare interi siti Web e hanno padroneggiato diversi canali e servizi di comunicazione. Oggi è possibile distinguere tali tipi di phishing.

• E-mail di phishing. I truffatori registrano un indirizzo postale simile all'indirizzo di una nota azienda o di un conoscente della vittima selezionata e inviano lettere da esso. Allo stesso tempo, per nome del mittente, design e contenuto, una lettera falsa può essere quasi identica all'originale. Solo al suo interno è presente un link a un sito fasullo, allegati infetti o una richiesta diretta di invio di dati riservati.
• Phishing SMS (smishing). Questo schema è simile al precedente, ma al posto dell'e-mail viene utilizzato SMS. L'abbonato riceve un messaggio da un numero sconosciuto (di solito breve) con una richiesta di dati riservati o con un collegamento a un sito fasullo. Ad esempio, un utente malintenzionato può presentarsi come banca e richiedere il codice di verifica che hai ricevuto in precedenza. In effetti, i truffatori hanno bisogno del codice per hackerare il tuo conto bancario.
• Phishing sui social. Con la proliferazione di messaggistica istantanea e social media, gli attacchi di phishing hanno invaso anche questi canali. Gli aggressori possono contattarti tramite account falsi o compromessi di organizzazioni note o dei tuoi amici. Altrimenti, il principio dell'attacco non differisce dai precedenti.
• Phishing telefonico (vishing). I truffatori non si limitano ai messaggi di testo e possono chiamarti. Nella maggior parte dei casi, a questo scopo viene utilizzata la telefonia Internet (VoIP). Il chiamante può impersonare, ad esempio, un dipendente del servizio di supporto del tuo sistema di pagamento e richiedere dati per accedere al portafoglio, presumibilmente per verifica.
• Cerca nel phishing. Puoi incontrare il phishing direttamente nei risultati di ricerca. Basta cliccare sul link che porta al sito fasullo e lasciare i dati personali su di esso.
• Phishing a comparsa. Gli aggressori usano spesso i pop-up. Visitando una risorsa dubbia, potresti vedere un banner che promette qualche vantaggio, ad esempio sconti o prodotti gratuiti, per conto di una nota azienda. Facendo clic su questo collegamento, verrai reindirizzato a un sito controllato da criminali informatici.
• Agricoltura. Non direttamente correlato al phishing, ma anche l'agricoltura è un attacco molto comune. In questo caso, l'attaccante falsifica i dati DNS reindirizzando automaticamente l'utente invece dei siti originali a quelli falsi. La vittima non vede messaggi e banner sospetti, il che aumenta l'efficacia dell'attacco.

Il phishing continua ad evolversi. Microsoft ha parlato delle nuove tecniche scoperte nel 2019 dal suo servizio anti-phishing Microsoft 365 Advanced Threat Protection. Ad esempio, i truffatori hanno imparato a mascherare meglio i materiali dannosi nei risultati di ricerca: i collegamenti legittimi vengono visualizzati in alto, il che porta l'utente a siti di phishing attraverso reindirizzamenti multipli.

Inoltre, i criminali informatici hanno iniziato a generare automaticamente collegamenti di phishing e copie esatte delle e-mail a un livello qualitativamente nuovo, che consente loro di ingannare in modo più efficace gli utenti e aggirare le misure di sicurezza.

A sua volta, Microsoft ha imparato a identificare e bloccare le nuove minacce. L'azienda ha utilizzato tutta la sua conoscenza della sicurezza informatica per creare il pacchetto Microsoft 365. Fornisce le soluzioni di cui hai bisogno per la tua azienda, garantendo al contempo che le tue informazioni siano protette efficacemente, anche dal phishing. Microsoft 365 Advanced Threat Protection blocca allegati dannosi e collegamenti potenzialmente dannosi nelle e-mail, rileva ransomware e altre minacce.

Come proteggersi dal phishing

Migliora la tua alfabetizzazione tecnica. Come si suol dire, chi è avvisato è armato. Studia da solo la sicurezza delle informazioni o consulta esperti per un consiglio. Anche solo avere una solida conoscenza delle basi dell'igiene digitale può farti risparmiare un sacco di problemi.

Stai attento. Non seguire link o aprire allegati in lettere di interlocutori sconosciuti. Ti preghiamo di controllare attentamente i recapiti dei mittenti e gli indirizzi dei siti che visiti. Non rispondere alle richieste di informazioni personali, anche quando il messaggio sembra credibile. Se un rappresentante dell'azienda ti chiede informazioni, è meglio chiamare il loro call center e segnalare la situazione. Non fare clic sui popup.

Usa le password con saggezza. Usa una password univoca e sicura per ogni account. Abbonati ai servizi che avvertono gli utenti se le password dei loro account vengono visualizzate sul Web e modifica immediatamente il codice di accesso se risulta compromesso.

Configurare l'autenticazione a più fattori. Questa funzione protegge inoltre l'account, ad esempio utilizzando password monouso. In questo caso, ogni volta che accedi al tuo account da un nuovo dispositivo, oltre alla password, dovrai inserire un codice di quattro o sei caratteri che ti è stato inviato via SMS o generato in un'apposita applicazione. Potrebbe non sembrare molto conveniente, ma questo approccio ti proteggerà dal 99% degli attacchi comuni. Dopotutto, se i truffatori rubano la password, non saranno comunque in grado di entrare senza un codice di verifica.

Utilizza le funzionalità di accesso senza password. In quei servizi, ove possibile, dovresti abbandonare completamente l'uso delle password, sostituendole con chiavi di sicurezza hardware o autenticazione tramite un'applicazione su smartphone.

Usa un software antivirus. L'antivirus aggiornato aiuterà in parte a proteggere il tuo computer da malware che reindirizza a siti di phishing o ruba accessi e password. Ma ricorda che la tua protezione principale è ancora l'adesione alle regole di igiene digitale e l'adesione alle raccomandazioni sulla sicurezza informatica.

Se gestisci un'impresa

I seguenti suggerimenti saranno utili anche per imprenditori e dirigenti aziendali.

Formare i dipendenti. Spiegare ai subordinati quali messaggi evitare e quali informazioni non devono essere inviate tramite e-mail e altri canali di comunicazione. Proibire ai dipendenti di utilizzare la posta aziendale per scopi personali. Istruirli su come lavorare con le password. Vale anche la pena considerare una politica di conservazione dei messaggi: ad esempio, per motivi di sicurezza, è possibile eliminare i messaggi più vecchi di un certo periodo.

Condurre attacchi di phishing di formazione. Se vuoi testare la reazione dei tuoi dipendenti al phishing, prova a simulare un attacco. Ad esempio, registra un indirizzo postale simile al tuo e invia lettere da esso ai subordinati chiedendo loro di fornirti dati riservati.

Scegli un servizio postale affidabile. I provider di posta elettronica gratuiti sono troppo vulnerabili alle comunicazioni aziendali. Le aziende dovrebbero scegliere solo servizi aziendali sicuri. Ad esempio, gli utenti del servizio di posta Microsoft Exchange, che fa parte della suite Microsoft 365, dispongono di una protezione completa contro il phishing e altre minacce. Per contrastare i truffatori, Microsoft analizza centinaia di miliardi di email ogni mese.

Assumi un esperto di sicurezza informatica. Se il tuo budget lo consente, trova un professionista qualificato che fornirà una protezione continua contro il phishing e altre minacce informatiche.

Cosa fare se sei vittima di phishing

Se c'è motivo di credere che i tuoi dati siano finiti nelle mani sbagliate, agisci immediatamente. Controlla i tuoi dispositivi alla ricerca di virus e cambia le password degli account. Informa il personale della banca che i tuoi dati di pagamento potrebbero essere stati rubati. Se necessario, informare i clienti della potenziale perdita.

Per evitare che tali situazioni si ripetano, scegli servizi di collaborazione affidabili e moderni. I prodotti con meccanismi di protezione integrati sono i più adatti: funzionerà nel modo più conveniente possibile e non dovrai rischiare la sicurezza digitale.

Ad esempio, Microsoft 365 include una gamma di funzionalità di sicurezza intelligenti, tra cui la protezione di account e accessi dalla compromissione con un modello di valutazione dei rischi integrato, autenticazione senza password o a più fattori che non richiede licenze aggiuntive.

Inoltre, il servizio fornisce un controllo dinamico degli accessi con valutazione del rischio e tenendo conto di un'ampia gamma di condizioni. Inoltre, Microsoft 365 contiene automazione e analisi dei dati integrate e consente anche di controllare i dispositivi e proteggere le informazioni da perdite.