Fastweb

Phishing, cos'è e come difendersi

Instagram al sicuro Social #instagram #social network Come vengono hackerati gli account Instagram Instagram è uno dei social media maggiormente presi di mira dai cyber criminali. Ecco come vengono hackerati gli account e come proteggere il nostro profilo dalle trappole informatiche
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Phishing, cos'è e come difendersi FASTWEB S.p.A.
Phishing
Web & Digital
Si tratta di una truffa informatica che ha come scopo il furto dei dati personali dell'utente. Ecco come difendersi

Insieme alla social engineering è, probabilmente, una delle pratiche di hacking più subdole che esistono. In entrambi i casi c'è in gioco la buona fede dell'internauta e la volontà di un pirata informatico di approfittarne per rubare dati, informazioni e quant'altro possa essere utile per entrare in possesso dell'identità digitale di milioni di persone. E, nonostante sia una delle minacce informatiche più conosciute, il phishing resta un pericolo a livello globale: da una ricerca condotta da Intel e McAfee emerge che solo il 3% dei 19mila intervistati ha risposto correttamente alle 10 domande del Phishing quiz, mentre l'80% ha fallito almeno un test. Insomma, il bacino di pesca degli hacker è sempre molto

Che cos'è il phishing

Il phishing è un tentativo di truffa, realizzato solitamente sfruttando la posta elettronica, che ha per scopo il furto di informazioni e dati personali degli internauti. I mittenti delle email di phishing sono (o meglio, sembrano essere) organizzazioni conosciute, come banche o portali di servizi web, e hanno apparentemente uno scopo informativo: avvisano di problemi riscontrati con account personali dell'utente (home banking, portali di aste online, provider di posta elettronica, social network e altro) e forniscono suggerimenti su come risolvere le problematiche.

 

Phishing

 

Nella stragrande maggioranza dei casi, sarà suggerito di cliccare su qualche link e fornire informazioni e dati personali per ripristinare l'account o metterlo al sicuro. Nel caso in cui si cliccasse sul collegamento e si fornissero le informazioni richieste, si finirebbe diritti nella rete dell'hacker-pescatore.

Le fasi di un attacco phishing

Un tentativo di phishing si articola solitamente di quattro fasi.

  • Invio di falsi messaggi di posta elettronica da parte del truffatore. Sfruttando una botnet, l'hacker invia decine di migliaia di email che simulano, nella grafica e nel contenuto, comunicazioni da parte di un istituto bancario, di un provider web, di un sito di aste online o di qualsiasi altra istituzione nota all'utente
  • Ricezione del messaggio. Nel messaggio di posta elettronica si avverte che è stato riscontrato un problema di sicurezza e che c'è la necessità di controllare il proprio account cliccando su un link presente nel testo dell'email stessa

 

Phishing

 

  • Accesso al sito fasullo. Il link rimanda, tuttavia, a un sito fittizio, ospitato su di un server controllato dal phisher, e che riproduce perfettamente le sembianze del portale istituzionale dell'istituto bancario o del portale di aste online
  • Ricezione delle credenziali. Una volta effettuato il login sul sito-copia, i dati sono archiviati nel database del server di chi ha condotto l'attacco, che potrà disporne a proprio piacimento. Può accadere, inoltre, che visitando il portale fasullo si sia infettati da trojan horse e malware di vario tipo: in questo caso lo scopo è prendere possesso di nuovi computer così da arricchire il parco macchine della botnet utilizzata per condurre l'attacco

 

Come si riconosce un tentativo di phishing

Per riconoscere un attacco phishing è necessario prestare molta attenzione ai messaggi di posta che si ricevono e una buona dose d'intuito. I messaggi di posta elettronica contenenti un tentativo di phishing sembrano provenire, come detto, dalla banca o dall'istituto finanziario di fiducia, oppure da servizi web solitamente utilizzati (posta elettronica, social network e altro) e sono contraffatti alla perfezione (o quasi). Nella stragrande maggioranza dei casi, i messaggi di posta elettronica contengono loghi dall'aspetto ufficiale e informazioni caratterizzanti prese direttamente da siti web legittimi. È tutt'altro che raro, inoltre, che nelle email si faccia riferimento a fatti del passato realmente accaduti che gli hacker reperiscono direttamente dagli account social personali.

 

Tentativo di phishing per Poste Italiane

 

Riconoscere un tentativo di phishing, comunque, non è così complicato. Solitamente contengono messaggi allarmanti (del genere "Verifica il tuo account" oppure "Se non rispondi il tuo account sarà chiuso in 48 ore"), invitano a inserire informazioni personali e credenziali web in portali esterni e, soprattutto, sono scritti in un italiano poco corretto. I messaggi di phishing, infatti, sono scritti in inglese e tradotti con strumenti web: raramente la forma del testo sarà corretta e ciò dovrebbe far risuonare nella testa dell'internauta un vero e proprio campanello d'allarme.

Una nuova tipologia di attacco phishing

Per evitare che tutti i tentativi di attacco phishing "classici" fossero respinti al mittente, gli hacker hanno messo a punto nuove metodologie offensive. Una di queste sfrutta una falla nei sistemi di riempimento automatico dei vari browser (Chrome, Opera e Safari, ma anche di plugin come quello di LastPass) per trafugare informazioni senza che l'utente se ne rendesse conto. La scoperta è dell'esperto di sicurezza informatico finlandese Viljami Kuosmanen, che ha fornito alcuni esempi sul funzionamento di questo trucco tanto semplice quanto ingegnoso.

Utilizzando i sistemi di riempimento automatico dei browser, infatti, dà modo ai gestori dei siti e dei portali web di raccogliere dati e informazioni personali senza informare l'utente. Anche se un portale richiede l'inserimento del nome e del cognome o solamente dell'indirizzo di posta elettronica, il gestore del sito avrà accesso anche agli altri dati del sistema di completamento automatico. In questo modo, senza rendersene conto, si stanno "regalando" dati personali senza che gli hacker debbano impegnarsi più di tanto.

Per proteggere le informazioni personali online sarebbe consigliabile utilizzare il riempimento automatico solo su portali "certi", oppure disattivare completamente la funzionalità e avere la certezza che nessuno potrà accedere ai nostri dati in maniera così semplice. Ecco come fare:

  • Disattivare riempimento automatico Chrome. Cliccare sul pulsante con tre puntini in verticale nell'angolo in alto a sinistra, scegliere la voce Impostazioni e successivamente Mostra impostazioni avanzate. Nella sezione Password e moduli togliere il segno di spunta in corrispondenza di "Attiva la compilazione automatica per compilare i moduli web con un click"
  • Disattivare riempimento automatico Safari. Accedere alle Preferenze e, nella sezione Completamento automatico, togliere la spunta di selezione in corrispondenza di tutte le informazioni che non si vogliono condividere con la funzionalitàDisattivare riempimento automatico Opera. Dal Menu scegliere la voce Riservatezza e sicurezza e scorrere l'elenco sino a trovare la sezione Autocompletamento. Qui togliere la spunta alla voce "Attiva l'autocompletamento dei moduli nelle pagine web" per disattivare completamente la funzione

 

Come difendersi dal phishing

Se si è alla ricerca di segreti o strumenti anti-phishing assolutamente infallibili Le armi di difesa degli utenti contro questa forma di truffa informatica si basano tutte (o quasi) sul buon senso.

 

Phishing

 

Prima di tutto bisogna pensare che un'istituzione seria non chiederà mai i dati personali di un utente tramite email. Per questo bisogna controllare scrupolosamente che l'indirizzo del mittente e il link corrispondano perfettamente al sito web ufficiale e non contengano qualche "errore di battitura". Una delle tattiche utilizzate dai phisher è quella di utilizzare url civetta, dove la differenza tra gli indirizzi dei due siti è di una sola lettera (paipal.com anziché paypal.com, ad esempio). Per avere la certezza che il proprio account non corra alcun pericolo, è buona norma utilizzare la pagina di login usuale, evitando di accedere tramite il link presente nel messaggio di posta elettronica.

Con il passare degli anni e il crescere dei tentativi di attacco phishing, i provider di posta elettronica e le software house che sviluppano client email hanno dotato i loro prodotti di filtri antispam e antiphishing che proteggono l'incolumità dell'internauta. Non sempre, però, le maglie dei sistemi di sicurezza riescono a intercettare le email truffaldine: per questo bisogna fare comunque molta attenzione: il superamento dei sistemi di sicurezza non è affatto sinonimo della veridicità del mittente.

 

Phishing

 

La stessa Google ha messo a punto un sistema di sicurezza – chiamato Google Safe Browsing – che prova a estirpare il phishing direttamente dalle radici. Questo servizio analizza le pagine web alla ricerca di quelle contenenti programmi o script potenzialmente pericolosi: ogni URL infetto viene quindi registrato nel database di Google ed entra a far parte di una sorta di moderno Indice dei libri proibiti (in questo caso dei siti proibiti), e resta virtualmente inaccessibile agli internauti. La lista è messa a disposizione anche di sviluppatori terzi con delle API specificheGoogle Chrome, Mozilla Firefox e Apple Safari utilizzano il tool antiphishing per garantire maggiore sicurezza ai loro utenti – mentre gli utenti possono verificare la sicurezza di un sito o di una pagina web visitando questa pagina e sostituendo la stringa mysite.com con l'URL della pagina o del sito da controllare.

17 aprile 2017

Copyright © CULTUR-E

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #phishing #hacker #malware #trojan horse

© Fastweb SpA 2018 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.