Se hai ricevuto un'e-mail dall'Internal Revenue Service o dalla Federal Deposit Insurance Corporation, è probabile che si sia trattato di un tentativo di phishing. Se hai ricevuto e-mail dalla tua banca, da PayPal o da Facebook che ti esorta a verificare immediatamente le informazioni o rischi di sospendere l'account, è stato senza dubbio il phishing.
Gli attacchi di phishing sono aumentati quest'anno, secondo le ultime notizie. Il gruppo di lavoro anti-phishing riferisce che ci sono stati più di 55.600 attacchi di phishing nella prima metà del 2009. Il phishing è particolarmente pericoloso perché una volta che i criminali ottengono la password di una vittima per un sito Web, possono spesso usarlo per accedere ad altri account in cui le persone hanno riutilizzato la password.
E chiunque può essere a rischio. La moglie del direttore dell'FBI, Robert Mueller, gli ha vietato di fare banking online dopo essersi avvicinato a un tentativo di phishing.
Ecco alcune informazioni di base che possono aiutare le persone ad evitare di essere ingannati da attacchi di phishing.
Cos'è il phishing?
Il phishing è un tentativo, solitamente via e-mail, di indurre la gente a rivelare informazioni sensibili come nomi utente, password e dati della carta di credito fingendo di essere una banca o qualche altra entità legittima. Le e-mail in genere includono un collegamento a un sito Web che sembra essere legittimo e che richiede agli utenti di fornire informazioni. A volte, l'e-mail di phishing includerà un modulo in un allegato da compilare. Un uso comune dei phisher tattici è quello di fingere di essere dal reparto frodi di un istituto finanziario o di un rivenditore online come PayPal e chiedere informazioni per prevenire frodi sull'identità. In un caso, un'e-mail di phishing che proviene da una commissione delle lotterie dello stato chiedeva ai destinatari le loro informazioni bancarie in modo che le loro "vincite" potessero essere depositate nei loro conti.
I phisher stanno inoltre sfruttando sempre più l'interesse per le notizie e altri argomenti popolari per indurre le persone a fare clic sui collegamenti. Una e-mail presumibilmente sull'influenza suina chiedeva alla gente di fornire il proprio nome, indirizzo, numero di telefono e altre informazioni come parte di un sondaggio sulla malattia. E gli utenti dei social network stanno diventando obiettivi popolari. Gli utenti di Twitter sono stati indirizzati a pagine di accesso false.
Gli hacker si stanno anche affidando all'Instant messaging per attirare le persone nelle loro trappole. In una recente truffa è stata lanciata una finestra di chat dal vivo tramite il browser. Lo scammer ha comunicato alle vittime tramite la finestra di chat, fingendo di essere da una banca e chiedendo ulteriori informazioni.
Quali sono altri esempi recenti di attacchi di phishing?
Una recente truffa via e-mail chiede ai clienti PayPal di fornire ulteriori informazioni o rischiare di eliminare il proprio account a causa di modifiche al contratto di servizio. I destinatari sono invitati a fare clic su un collegamento ipertestuale che dice "Ottieni verificato!"
Le e-mail che sembrano provenire dalla FDIC includono una riga dell'oggetto che dice "controlla la copertura assicurativa per i depositi bancari" o "FDIC ha ufficialmente chiamato la banca come una banca fallita". Le e-mail includono un link a un sito FDIC falso in cui ai visitatori viene richiesto di aprire i moduli da compilare. Cliccando sui link del modulo si scarica il virus Zeus, che è progettato per rubare password bancarie e altre informazioni.
Le e-mail che sembrano provenire dall'IRS indicano ai destinatari che sono idonei a ricevere un rimborso fiscale e che il denaro potrebbe essere richiesto facendo clic su un link nell'e-mail. Il link indirizza i visitatori verso un sito IRS falso che richiede informazioni personali e finanziarie.
Una e-mail di Facebook dall'aspetto legittimo chiede alle persone di fornire informazioni per aiutare il social network ad aggiornare il proprio sistema di accesso. Facendo clic sul pulsante "aggiorna" nella posta elettronica, gli utenti portano a una finta schermata di accesso a Facebook in cui viene inserito il nome utente e ai visitatori viene richiesto di fornire la propria password. Quando si digita la password, le persone finiscono su una pagina che offre uno "Strumento di aggiornamento", ma che in realtà è il trojan Zeus bank.
Quali sono alcuni segni rivelatori di un tentativo di phishing?
Molti tentativi di phishing provengono da fuori dagli Stati Uniti, quindi spesso hanno errori di ortografia e grammaticali. Alcuni hanno un tono urgente e cercano informazioni sensibili che in genere le aziende legittime non chiedono via e-mail.
Cosa dovrei cercare in una e-mail?
Controlla le informazioni del mittente per vedere se sembra legittimo. I criminali sceglieranno indirizzi simili a quello che stanno simulando. Ad esempio, i phisher hanno usato "[email protected]". Tuttavia, i messaggi legittimi di PayPal negli Stati Uniti provengono da [email protected] "e includono un'icona chiave. La maggior parte delle e-mail di phishing proviene da fuori dagli Stati Uniti, pertanto un indirizzo che termina con" .uk "o qualcosa di diverso da" .com "potrebbe indica che si tratta di un tentativo di phishing.
L'indirizzo e-mail potrebbe anche essere oscurato. Colpire "rispondi a tutti" può rivelare il vero indirizzo e-mail. È inoltre possibile impostare le preferenze e-mail per mostrare "intestazione completa" per visualizzare l'indirizzo e-mail completo e altre informazioni. Se non sei sicuro che l'e-mail sia legittima, vai al sito Web della società per vedere l'indirizzo elencato.
Le società legittime tendono a utilizzare i nomi dei clienti o i nomi degli utenti nell'e-mail e le banche spesso includono parte di un numero di conto. Le e-mail di phishing offrono in genere saluti generici, ad esempio "Gentile cliente PayPal".
Ispezionare i collegamenti ipertestuali all'interno del corpo dell'e-mail. I phisher in genere utilizzano sottodomini o lettere o numeri prima del nome della società e talvolta le parole nei collegamenti sono errate. Ad esempio, www.BankA.security.com si collegherebbe alla sezione 'BankA' del sito Web 'security'. Spesso, è difficile dire se il collegamento è legittimo solo guardandolo. Passando il mouse sul link è possibile visualizzare l'indirizzo reale nella parte inferiore della maggior parte dei browser Web.
Inoltre, PayPal, Amazon, banche e molte altre aziende utilizzano il protocollo SSL (Secure Sockets Layer) progettato per garantire che i clienti visitino il sito reale. Ciò significa che // verrà visualizzato nella barra degli indirizzi URL anziché solo // e di solito ci saranno altri cambiamenti nella barra degli indirizzi. Ad esempio, PayPal visualizza una "P" e il suo nome è evidenziato in verde nella parte anteriore dell'URL. I principali browser hanno misure antiphishing progettate per rilevare siti dannosi. Alcuni phisher tentano anche di nascondere il vero indirizzo Web a cui stanno inviando le vittime utilizzando i servizi di abbreviazione URL.
Se l'e-mail ha un allegato, fai attenzione ai file .exe. Agli autori di truffatori piace nascondere virus e altri malware, quindi viene eseguito quando viene aperto.
Non lasciarti ingannare dall'aspetto del sito Web a cui potresti essere indirizzato. Il sito Web può apparire come una vera banca o una pagina PayPal, compreso l'uso di loghi e marchi reali. Potrebbe essere una buona pagina falsa o potrebbe essere una pagina legittima con una finestra pop-up di phishing in cima.
Come si possono evitare gli attacchi di phishing?
Cerca di evitare liste di spam. Non pubblicare il tuo indirizzo e-mail su siti pubblici. Creare un indirizzo e-mail che è meno probabile che venga incluso negli elenchi di spam. Ad esempio, invece di [email protected], usa [email protected].
Se una e-mail sembra ragionevole contattare direttamente la società se si riceve una e-mail che chiede di verificare le informazioni. Digitare direttamente l'indirizzo dell'azienda nella barra degli indirizzi anziché fare clic su un collegamento. Oppure chiamali, ma non utilizzare alcun numero di telefono fornito nell'e-mail.
Non fornire informazioni personali richieste via e-mail. Le società e le agenzie legittime utilizzeranno la posta ordinaria per comunicazioni importanti e non chiederanno mai ai clienti di confermare il login o le password facendo clic sui collegamenti nell'e-mail.
Osserva attentamente l'indirizzo Web a cui indirizza un link e digita gli indirizzi nel browser per le aziende se non sei sicuro.
Non aprire allegati e-mail che non ti aspetti di ricevere. Non aprire i link per il download in IM. E non inserire informazioni personali in una finestra pop-up o e-mail.
Assicurati di utilizzare un sito Web sicuro quando invii informazioni finanziarie e sensibili.
Cambia password frequentemente. Non utilizzare la stessa password su più siti.
Accedi regolarmente agli account online per monitorare l'attività e verificare le dichiarazioni.
Utilizza software antivirus, antispam e firewall e mantieni aggiornati il tuo sistema operativo e le tue applicazioni.
Cosa posso fare se penso di essere stato vittimizzato dal phishing?
Il gruppo di lavoro anti-phishing ha un sito completo che spiega esattamente quali passi le persone dovrebbero prendere in base al tipo di informazioni che hanno fornito.
Dove posso segnalare i tentativi di phishing?
È possibile inoltrare le sospette e-mail di phishing a [email protected] e [email protected]. Le aziende in genere dispongono di un indirizzo per inoltrare esempi di phishing, ad esempio "[email protected]". Includere sempre l'intera e-mail di phishing. I reclami possono essere presentati presso l'Internet Crime Complaint Center dell'FBI.
Qui ci sono risorse aggiuntive.
//apwg.org/consumer_recs.html
//www.irs.gov/newsroom/article/0,, id=154848, 00.html
//www.microsoft.com/mscorp/safety/technologies/antiphishing/guidance.mspx
Lascia Il Tuo Commento