Che cos’è un attacco di phishing?

[ware_item id=33][/ware_item]

Un'illustrazione di un pezzo di carta con un campo nome utente e password su di esso. Ma prendi questo! È su un amo da pesca! Lol.


Il phishing è di gran lunga il più comune "hack" utilizzato per rubare password, rilevare account ed entrare in sistemi senza autorizzazione. È principalmente un attacco di social engineering, piuttosto che un vero hack in senso tecnico. In quanto tale, è molto più difficile difendersi.

Il phishing può avvenire attraverso qualsiasi canale: via telefono, e-mail, una pagina Web o anche di persona. In breve, è un tentativo di indurti a rivelare un segreto (come la tua password o altri dati).

La parola phishing si riferisce al termine pesca, come in "pesca delle password", ed è probabilmente un portmanteau di telefono e pesca. Probabilmente è anche collegato a un termine di hacking precoce, phreaking, poiché il phishing era già una tattica di social engineering comune anche prima dell'ascesa di Internet.

Il simbolo <>< è stato utilizzato per indicare informazioni rubate o phishing sui forum online, poiché era difficile per i robot rilevarle o bloccarle, grazie alla sua somiglianza con un codice HTML valido.

Come difendersi dagli attacchi di phishing

Il nucleo di ogni attacco di phishing è di solito l'incapacità degli esseri umani di autenticarsi facilmente a vicenda. Inoltre, spesso i sistemi informatici non sono realizzati tenendo conto dei problemi di autenticazione e sono necessari notevoli sforzi per convalidare correttamente gli schemi di firma crittografica.

Phishing telefonico

La verifica dell'identità di un chiamante può essere difficile. I numeri che compaiono sull'ID chiamante sono facili da falsificare, quindi anche se il numero di telefono della persona autorizzata è noto o salvato nella rubrica, non c'è garanzia che la persona dall'altra parte della linea sia chi dice di essere.

Solo richiamare il numero è una prova sicura che appartiene davvero al chiamante, ma anche in questo caso è importante verificare il numero cercandolo su Internet o in un elenco telefonico. Puoi anche considerarlo verificato se è stato raccolto di persona, ad esempio tramite un biglietto da visita.

Banche, governi o tribunali non ti chiameranno quasi mai per richiedere informazioni personali. In tal caso, chiedi il nome, il titolo e il dipartimento del chiamante, quindi richiama con un numero elencato pubblicamente e disponibile di tale istituto.

E-mail

Le e-mail di phishing sono di gran lunga la minaccia più comune. Gli aggressori invieranno e-mail dall'aspetto legittimo da istituti finanziari, organizzazioni governative o schemi generici come lotterie per indurre un utente a visitare il loro sito Web.

Gli aggressori possono creare un sito Web bancario falso, ad esempio, che sembra abbastanza reale e richiederà all'utente di inserire informazioni personali. Tale sito di phishing potrebbe richiedere password, dettagli della carta di credito o informazioni personali generiche da utilizzare negli schemi di furto di identità.

Il modo più affidabile per verificare l'autenticità è PGP, sebbene pochi individui e siti lo abbiano installato.

Di norma, non si dovrebbero fare clic sui collegamenti nelle e-mail, in particolare non su quelli in corrispondenza imprevista. Invece, gli utenti dovrebbero navigare direttamente al sito Web e seguire le istruzioni lì. Utilizzare i moduli sul sito Web per comunicare con il personale di supporto.

siti web

I siti di phishing potrebbero impersonare un sito visitato regolarmente dalla vittima. Potrebbero anche essere semplicemente utilizzati per indurre l'utente a chiamare un falso numero dell'assistenza clienti o per sollecitare i dettagli della carta di credito dagli utenti, ad esempio avvisandoli di un jackpot della lotteria.

Le vittime dei siti di phishing vengono spesso incanalate nei siti utilizzando quattro canali distinti:

  • Email: "È richiesta la verifica dell'account".
  • Pubblicità: "Sei il fortunato vincitore!"
  • Errore di battitura: googel.com anziché google.com
  • Motori di ricerca: "Hai cercato la tua banca, ecco la tua" banca ""

Per evitare di cadere vittima di un sito di phishing, è una buona idea controllare sempre gli URL dei siti visitati e, idealmente, navigare solo verso di essi utilizzando i segnalibri salvati.

L'uso di un metodo di autenticazione a due fattori hardware è anche un ottimo modo per proteggerti dal phishing, sebbene non tutti i siti lo offrano. Alcuni gestori di password possono anche aiutarti a identificare i siti di phishing, poiché inseriranno automaticamente le tue password solo nei siti che hanno precedentemente autenticato.

Fai attenzione alle tue informazioni personali

Le e-mail che ti spingono a "verificare il tuo account" o a "tenere aperto il tuo account" sono quasi sempre tentativi di phishing intesi a sollecitare le vittime a fare clic sui collegamenti e a inserire informazioni in fretta.

Quando ricevi email o telefonate, mantieni la calma e attendi fino a quando non torni a un dispositivo con cui ti senti a tuo agio, come il tuo computer desktop a casa o il tuo smartphone principale.

Per mitigare la vulnerabilità agli attacchi di phishing, utilizzare segnalibri, gestori password e token di autenticazione a due fattori hardware. Infine, non esitare a verificare le informazioni e a diffidare sempre di email, pubblicità e telefonate.

Che cos'è un attacco di phishing?
admin Author
Sorry! The Author has not filled his profile.