Controllare sempre l’indirizzo del mittente e mai scaricare allegati sospetti: ecco alcuni dei consigli di Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino specializzata in sicurezza informatica, per evitare di cadere nella trappola degli hacker ed essere vittima del phishing.
Incubo ricorrente del navigatore del web distratto, il phishing consiste nell’invio da parte di hacker e malintenzionati di comunicazioni fraudolente atte a sottrarre dati sensibili o denaro, e avviene nella maggior parte dei casi tramite l’invio di messaggi di posta elettronica o sms che simulano comunicazioni da parte di enti, istituti bancari o provider noti all’utente per invitarlo ad aprire un collegamento che riporta a siti trappola o ad aprire un allegato contenente un malware.
“Originariamente gli utenti malevoli inviavano numerose mail di phishing ad utenti selezionati casualmente. Con il passare del tempo, peró, gli hacker hanno innalzato l’asticella, iniziando ad inviare mail di phishing targettizzate (chiamate in gergo “Spear Phishing”), quindi cucite sull’utente stesso, sui suoi interessi, esperienze passate, connessioni familiari, ecc. – spiega Hassan Metwalley, founder di Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino specializzata in sicurezza informatica – L’uso di questo tipo di messaggi incrementa enormemente le possibilitá di successo dell’attacco. Ovviamente per preparare attacchi del genere è indispensabile avere una conoscenza approfondita del proprio obiettivo. Queste informazioni spesso possono essere anche semplicemente reperite dal profilo social dell’utente, ma sempre piú spesso gli hacker ricorrono ai Web tracker, servizi che raccolgono dati per tracciare le abitudini degli utenti”
Le informazioni registrate dai Web tracker vengono regolarmente usate, in modo innocuo, per proporre contenuti mirati sulla base delle operazioni che compiamo sul Web, ma è stato documentato come questi stessi strumenti possano essere utilizzati per spiare costantemente le attività dei dipendenti e raccogliere informazioni sensibili e private. Questi enti possiedono dati altamente dettagliati su ciascun utente, comprese informazioni sensibili come per esempio stato delle finanze, stato di salute, affiliazione politiche, preferenze sessuali e religiose. Insieme a questi dati, i Web tracker utilizzano tecniche di fingerprinting, ovvero di identificazione del dispositivo usato dall’utente. Con tutte queste informazioni, diventa molto facile realizzare attacchi informatici di phishing mirati direttamente sugli utenti e su ogni loro dispositivo, con percentuali di successo decuplicate rispetto ad un attacco non personalizzato.
Quali sono quindi le regole da tenere a mente per evitare di cedere i propri dati? Ecco i consigli di Ermes Cyber Security.
1. Verificare attentamente il mittente dell’email, andando a scoprire nei dettagli del messaggio ricevuto quale sia l’indirizzo email da cui proviene e se sia affidabile. Ma attenzione perché questo controllo non è infallibile. Hacker e malintenzionati riescono facilmente a mascherare il proprio indirizzo attraverso l’email spoofing, ovvero la pratica che consiste nell’impostare un indirizzo ufficiale come nome del mittente. Il lettore meno attento potrà quindi essere più facilmente tratto in inganno e tenderà a fidarsi della comunicazione ricevuta. Ermes Cyber Security suggerisce quindi di fare un passaggio in più e controllare le intestazioni (header) dell’e-mail ricevuta.
2. Non scaricare gli allegati di mail di cui non si è sicuri: anche semplici file come .pdf o .doc possono essere veicolo di malware o di altri file eseguibili (.exe o simili) che possono installare virus o backdoor sui dispositivi.
3. Attenzione all’URL. Nella maggior parte dei casi le email di phishing invitano a cliccare su un link malevolo che riporta ad un sito trappola, per far sì che il malcapitato utente rilasci dati e informazioni personali. Anche cliccando sul link malevolo può capitare di ritrovarsi in un sito in tutto e per tutto uguale all’originale: in questo caso bisogna fare molta attenzione all’URL, che apparirà senza dubbio simile ma che potrebbe presentare un’estensione di dominio diversa dal normale, qualche lettera di troppo nel nome, una connessione che viene mostrata come “non sicura” dal browser e in “http” invece che in “https”. Inoltre, in questi casi è sempre bene ricordare che un istituto bancario non scriverà via mail per chiedere di aggiornare i dati online cliccando su un link, così come le piattaforme online cui si è iscritti inviteranno piuttosto a raggiungere autonomamente tramite browser il sito stesso per fare il login. Per sciogliere ogni dubbio è sempre meglio rivolgersi all’assistenza clienti dell’ente che ci ha inviato il messaggio di posta.
4. Attenzione al social phishing. Non solo via mail: il phishing ha ormai invaso anche i social network, che sono una miniera di dati personali e di occasioni per gli hacker. Ogni giorno gli account degli utenti vengono violati a loro insaputa e diventano essi stessi veicolo di “infezione”. Quindi quando un amico invia link dubbi, catene o richieste di aiuto, magari scritte in un italiano vacillante, non bisogna assolutamente cliccare o diffondere ad ulteriori contatti. Meglio piuttosto fermarsi e chiedere un’informazione in più al contatto amico da cui si ricevono link o messaggi “strani”. A maggior ragione, non si devono accettare richieste di amicizia da parte di contatti sconosciuti o dal profilo dubbio.
5. Controllare come è scritto il testo dell’email ricevuta: se è in un italiano traballante e utilizza appellativi troppo generici (es.: gentile utente della Banca), potrebbe essere la traduzione meccanica di un testo che viene spedito a migliaia di utenti in tutto il mondo. Bisogna fare attenzione anche alla presenza di errori ortografici, grammaticali o di battitura: dietro questi testi potrebbero nascondersi degli hacker.
6. If you see something, say something: proprio come invita a fare la polizia americana, anche diversi provider di posta consentono di segnalare non solo le email di spam, ma proprio quelle di phishing. Segnalazioni di questo tipo sono fondamentali perché aiutano a mettere definitivamente in black list specifici indirizzi email o interi domini fraudolenti.
7. Difendersi a monte: soprattutto nel caso delle aziende è infine sempre più importante proteggersi a monte dagli attacchi informatici per evitare data breach. Per questo motivo, Ermes Cyber Security ha sviluppato Ermes Internet Shield, il sistema che – primo al mondo – è in grado di agire a monte del pericolo di furto dei dati: una soluzione totalmente automatica che non richiede alcun intervento umano ed è in grado di assicurare una protezione totale aggiornata in tempo reale a tutti i dispositivi aziendali, permettendo così agli utenti di navigare in totale libertà e sicurezza.