Il phishing è una delle truffe online più comunemente utilizzate dagli hacker. Si tratta di attacchi sofisticati che si presentano il più delle volte sotto forma di e-mail contraffatte, spesso difficili da identificare come tali. In questo articolo troverai tutto quello che c’è da sapere sul phishing e su come proteggersi contro le frodi online.
Cos’è il phishing?
Il phishing è un tipo di truffa online che consiste nel contattare la potenziale vittima tramite e-mail, SMS o per telefono, e in cui il truffatore finge di essere un terzo di fiducia al fine di accedere ai dati personali della vittima e di usurparne l’identità. Nella maggior parte dei casi i messaggi di phishing fanno riferimento a questioni confidenziali, ad esempio a problemi di accesso al back office o inerenti alla password o alle coordinate bancarie, e invitano il destinatario del messaggio ad agire immediatamente.
In questo articolo ci concentreremo sul phishing via e-mail, che è il tipo di phishing più comune al giorno d’oggi.
Come riconoscere un tentativo di phishing?
“La parola d’ordine è: prudenza! Le e-mail di phishing sono così comuni al giorno d’oggi che è praticamente impossibile non riceverne. Chiunque abbia una casella di posta elettronica è esposto a questo rischio. Fortunatamente, queste e-mail sono piuttosto facili da riconoscere: basta seguire alcune buone pratiche.”
Alexandre Tiperez, Amministratore di sistemi e di rete presso VirtualExpo.
Per prima cosa, presta la massima attenzione alle email in cui ti viene chiesto di indicare il tuo nome, indirizzo e-mail o addirittura di digitare la tua password e/o i tuoi dati bancari. In questo caso, non aprire né i link né gli allegati dell’e-mail in questione e non comunicare i tuoi dati personali! I tentativi di phishing possono essere riconosciuti anche in altro modo. Infatti, contengono generalmente una serie di errori che permettono di riconoscerne il carattere fraudolento o quantomeno di metterne in dubbio l’autenticità.
Ecco come capire se sei vittima di phishing :
- Indirizzo del mittente
Prima di tutto, verifica se in passato questo mittente ti ha già contattato tramite e-mail. Se lo ha fatto, verifica il suo indirizzo.
Gli hacker, infatti, cercano spesso di imitare l’indirizzo e-mail del mittente legittimo per cui si fanno passare. Se l’indirizzo è diverso, se manca anche solo un lettera rispetto all’indirizzo del mittente legittimo, significa che sei vittima di un tentativo di phishing.
- Errori nei nomi di dominio
Anche se ricevi un’e-mail che sembra, a prima vista, provenire da un indirizzo affidabile, accertati che il dominio di posta elettronica corrisponda a quello usato dal destinatario legittimo nel suo indirizzo e-mail. Questa ulteriore verifica dell’indirizzo e-mail permette di riconoscere un tentativo di phishing anche qualora il messaggio sembri autentico, non contenga errori e utilizzi lo stile grafico e il logo del marchio.
- Errori ortografici e grammaticali
Gli errori ortografici e grammaticali e una scarsa qualità linguistica indicano spesso che l’e-mail in questione è fraudolenta.
- Allegati e link sospetti
Non cliccare su nessun link e non aprire nessun allegato prima di aver controllato l’indirizzo del mittente (compreso il nome di dominio), la formula di cortesia usata, l’ortografia e la grammatica. Alcune e-mail di phishing, infatti, invitano a cliccare su un link che reindirizza a un sito “clonato” con finalità dolose oppure invita a scaricare allegati che contengono spyware. Presta grande attenzione al nome di dominio dell’URL per individuare eventuali errori (ad es. lettere o numeri mancanti, di troppo o in ordine diverso rispetto all’indirizzo vero.)
“Prima di cliccare su un link, passaci sopra il mouse per controllare il nome del dominio del sito a cui reindirizza.”
Alexandre Tiperez, Amministratore di sistemi e di rete presso VirtualExpo.
BUONE PRATICHE: Se devi inserire una password e altre informazioni riservate, opta sempre per siti sicuri la cui URL inizia con https.
- Messaggi a carattere urgente e offerte troppo allettanti
Molti messaggi di phishing invitano la vittima ad accedere a un account, a effettuare un bonifico o a comunicare informazioni riservate. Altre e-mail fraudolenti si presentano sotto forma di offerte molto allettanti o annunciano la vincita di un premio.
L’obiettivo delle e-mail fraudolente è quello di farti reagire immediatamente, senza lasciarti il tempo di riflettere. Indipendentemente dal carattere urgente della comunicazione, non affrettarti a rispondere: controlla il link del messaggio, il nome del dominio, l’indirizzo del mittente e guarda se l’e-mail che hai ricevuto contiene errori di ortografia o di formulazione.
L’e-mail che ho ricevuto proviene veramente da un marketplace del gruppo VirtualExpo?
Per aiutarti a verificare l’autenticità delle nostre e-mail, elenchiamo qui di seguito i casi in cui potresti ricevere una e-mail da parte di AeroExpo, AgriExpo, ArchiExpo, DirectIndustry, MedicalExpo o NauticExpo:
- invio di una richiesta da parte di un buyer,
- invio di un messaggio da parte di un buyer oppure accettazione da parte sua di un preventivo,
- notifica di un’azione da te effettuata (aggiornamento dello stand, aggiornamento fatto nell’Area Distributori, la sottoscrizione di un nuovo servizio, pagamento di una fattura, ecc.)
- notifica di un’interazione tra te e il servizio clienti,
- invio da parte nostra delle statistiche settimanali e mensili,
- invio da parte nostra di newsletter.
Come proteggersi dai tentativi di phishing?
Qui di seguito ti proponiamo alcune misure che possono proteggerti dal phishing
- Aggiungi ai tuoi preferiti l’URL dei siti che visiti regolarmente.
In questo modo, quando riceverai una nuova e-mail, potrai confrontare l’indirizzo della email sospetta con quello che hai registrato e che sai essere affidabile.
BUONE PRATICHE: Per accedere ai siti che visiti frequentemente, non usare i link che trovi nelle e-mail che ricevi. Usa sempre dei link sicuri, che avrai preventivamente registrato nei tuoi preferiti. La prudenza non è mai troppa!
- Assicurati anche che l’antivirus del tuo computer sia aggiornato.
- Installa sul tuo browser un’estensione, come ad esempio WOT (Web of Trust), in grado di identificare i siti che rappresentano una minaccia.
- Per interagire con i buyer, utilizza sempre l’interfaccia di dialogo che mettiamo a tua disposizione.
- A meno che non sia strettamente necessario, evita di divulgare online informazioni personali che potrebbero essere usate dagli hacker ai tuoi danni.
Cosa fare se si è vittima di phishing?
Le tecniche di phishing sono in continua evoluzione e può capitare che anche gli utenti più prudenti ne siano vittime. Se ti rendi conto di aver comunicato i tuoi dati personali a una persona malintenzionata o di esserti identificato su un sito “clone”, ecco cosa fare:
- Attiva la verifica in due passaggi, o doppia autenticazione, proposta dal tuo provider di posta elettronica (Outlook, Gmail, Yahoo, ecc.), e contattalo per informarlo di quanto accaduto.
“La verifica in due passaggi per accedere alla propria casella di posta elettronica è vivamente consigliata. Questa funzione consente di rafforzare la sicurezza in quanto, oltre all’inserimento della password, rende necessaria un’azione di validazione tramite un’applicazione su smartphone o tramite digitazione di un codice, solitamente da riceversi via SMS, che rende praticamente impossibile il pirataggio dell’account.”
Alexandre Tiperez, Amministratore di sistemi e di rete presso VirtualExpo
- Contatta l’azienda di cui hanno usurpato l’identità o il sito che è stato clonato affinché possa agire rapidamente.
Se ti rendi conto di aver fornito delle informazioni personali o i tuoi dati di accesso a una persona malintenzionata che si è fatta passare per VirtualExpo, contatta immediatamente il tuo account manager o il servizio clienti affinché ti attribuiscano una nuova password.
- Cambia TUTTE le tue password!
Naturalmente ti consigliamo di cambiare per prima cosa la password del sito di cui gli hacker hanno usurpato l’identità. Ma gli hacker potrebbero servirsi dei tuoi dati per accedere ad altri tuoi account, e per questa ragione ti consigliamo di cambiare tutte le tue password.
Non utilizzare mai una stessa password per più account. Se hai difficoltà a memorizzare le tue password, sappi che esistono appositi siti e applicazioni di gestione delle password che, oltre a facilitare il login, limitano il rischio che i tuoi account online vengano piratati a seguito di un attacco di phishing.”
Alexandre Tiperez, Amministratore di sistemi e di rete presso VirtualExpo
- Ti sei reso conto di aver fornito informazioni confidenziali a una persona malintenzionata che ti ha contattato via e-mail? Contatta le forze di polizia dedite alla lotta contro il crimine informatico.
Se, invece, hai riconosciuto in tempo il carattere fraudolento dell’e-mail che hai ricevuto:
1. Inoltra l’e-mail in questione all’azienda di cui i truffatori hanno usurpato l’identità.
Se l’e-mail in questione è stata inviata a nome di VirtualExpo, inoltrala al tuo account manager o al servizio clienti in maniera che i nostri esperti informatici possano occuparsene.
2. Elimina definitivamente la e-mail dalla tua casella di posta elettronica.
Il phishing è una tecnica semplice ed efficace usata da molti hacker e, come tale, rappresenta una seria minaccia per la tua sicurezza su internet. Per garantire la tua sicurezza online, usa sempre la massima prudenza!
Sappi anche che VirtualExpo non ti chiederà mai di eseguire un’azione o di confermare i tuoi dati personali al di fuori di canali di comunicazione sicuri (back-office e interfaccia di dialogo). VirtualExpo non ti invierà nemmeno e-mail di avvertimento urgenti chiedendoti di accedere al tuo account e di condividere i tuoi dati personali o le tue credenziali.
Per la tua sicurezza, ricordati di osservare tutte queste misure di sicurezza ogni volta che devi inserire i tuoi dati personali e segnalaci ogni tentativo di phishing effettuato usando la nostra identità. Il tuo account manager e il servizio clienti rimangono a tua disposizione per qualsiasi chiarimento in merito.
