Le minacce alla sicurezza sono disponibili in tutte le forme e dimensioni. Probabilmente hai sentito parlare di virus, trojan, keylogger e, più recentemente, ransomware. Vuoi sapere cosa hanno in comune? Possono essere tutti il ​​risultato del phishing.

La parola stessa è un omofono; gli hacker usano esca - di solito sotto forma di file o link apparentemente legittimi - per "phish" per le vittime. E poiché questa esca di solito si diffonde via e-mail, è difficile per il software di sicurezza, ehm, liberarsi. Questo è ciò che lo rende così pernicioso.

Un triste esempio di business "phishing"

Storia vera: un paio di anni fa, gli affari di mio cognato erano stati violati dal ransomware. Questo orribile codice crittografa quasi tutti i file di dati - documenti Word, fogli di calcolo Excel e così via - e li ha letteralmente tenuti in ostaggio. Se volesse restituire i suoi dati, il prezzo sarebbe $ 700.

Secondo un esperto di sicurezza assunto per aiutare, il ransomware si è avvicinato quando uno dei proprietari ha aperto un allegato di posta elettronica contrassegnato come "Il mio curriculum" - un'azione apparentemente innocua, soprattutto considerando che la società era, in effetti, attivamente impegnata.

Il phishing può anche comportare il furto di identità e persino bloccarti fuori dal tuo telefono. Ma aspetta, il software di sicurezza non dovrebbe proteggerti da tali minacce? Lo è, ma questo è ciò che rende il phishing così subdolo: arriva come un'e-mail apparentemente innocua e cajoles o spaventa l'azione, solitamente facendo clic su un link o aprendo un file. E spesso è tutto ciò che serve.

Mentre molte persone conoscono bene questa pratica e sanno cosa cercare, sospetto che ci sia un sacco di gente che cade ancora vittima. Diamine, mi considero un esperto di evitamento del phishing, eppure ho avuto occasionali cadute temporanee che mi hanno quasi indotto a cliccare su un link fraudolento.

Come individuare un'e-mail falsa

Di seguito ho condiviso un'e-mail che mostra alcuni segni rivelatori di phishing phishing. Nota che poiché sono un utente PayPal, l'e-mail ha sicuramente attirato la mia attenzione, almeno inizialmente.

1. Come molte persone, ho diversi indirizzi email. Ma questo messaggio è arrivato a un indirizzo che non è collegato al mio account PayPal. Inoltre, il campo "A" è vuoto, un segno evidente che in realtà non proviene da PayPal.
2. La cattiva grammatica e l'ortografia sono segni rivelatori di phishing. Le grandi aziende assumono copywriter professionisti (ed editori) per la comunicazione e-mail.
3. Il mio nome è mancante Il saluto si limita a leggere, "Ciao, [vuoto]." Sono abbastanza sicuro che PayPal potrebbe comunicare con me per nome.
4. Un altro indizio forte questo è un falso: non mi sono appena iscritto a PayPal. Ora, potresti pensare: "Oh, no, qualcuno ha creato un account PayPal nel mio nome!" Ancora una volta, questa è una tattica intimidatoria (e anche debole) progettata per farti fare clic sul pulsante blu invitante. Se lo facessi, verrai indirizzato a un sito che sembra abbastanza simile a PayPal, con un modulo che richiede tutti i tipi di informazioni personali, incluso un numero di carta di credito. In alternativa, è possibile atterrare in un sito che stealth installa un gruppo di spyware e / o virus.

Questo è stato un po 'di phishing sbagliato. Ma ci sono molti più furbi là fuori, come "il tuo account è stato compromesso!" o "FedEx ha una consegna che ti aspetta" e-mail che sembrano indistinguibili dalla cosa reale.

Fortunatamente, è abbastanza facile proteggersi da contro-persone come queste.

Come evitare di essere catturati in una rete di phishing

Siate sempre sospettosi. Le e-mail di phishing cercano di spaventarti con avvertimenti di informazioni rubate o peggio, e quindi offrono una soluzione semplice se fai semplicemente "clic qui". (Oppure il contrario: "Hai vinto un premio! Clicca qui per richiederlo!") In caso di dubbio, non fare clic. Invece, apri il browser, vai al sito Web della società, quindi accedi normalmente per vedere se ci sono segni di strane attività. Se sei preoccupato, cambia la tua password.

Controlla cattiva ortografia e grammatica. La maggior parte delle missive che provengono da fuori degli Stati Uniti sono piene di errori di ortografia e cattiva grammatica. Come ho notato in precedenza, le grandi aziende assumono professionisti per assicurarsi che le loro e-mail contengano una prosa perfetta. Se stai guardando uno che non lo fa, è quasi certamente un falso.

Porta il tuo browser. Un clic accidentale di un link di phishing non deve significare disastri. McAfee SiteAdvisor e Web of Trust sono componenti aggiuntivi gratuiti del browser che ti avviseranno se il sito che stai per visitare è sospettato di attività dannose. Sono come dei vigili urbani che ti fermano prima di abbattere una strada pericolosa.

Usa il tuo telefono. Se stai controllando la posta sul tuo telefono, potrebbe essere più difficile individuare un tentativo di phishing. Non è possibile "muovere il mouse" su un link discutibile, e lo schermo più piccolo ti rende meno probabile che individuino gaffe ovvie. Sebbene molti browser (e sistemi operativi) del telefono siano immuni da siti e download dannosi, è comunque opportuno fare attenzione quando si gestiscono collegamenti sospetti. (Ovviamente non dovresti ancora compilare un modulo che richiede la tua password o altre informazioni personali.) Gli utenti Android in particolare dovrebbero essere consapevoli dei potenziali rischi.

Soprattutto, si basano sul buon senso. Non puoi vincere un concorso che non hai inserito. La tua banca non ti contatterà utilizzando un indirizzo email che non hai mai registrato. Microsoft non ha "rilevato da remoto un virus sul PC". Conoscere i segnali di pericolo, pensare prima di fare clic e mai e poi mai fornire la propria password o informazioni finanziarie se non si è correttamente registrati nel proprio account.

Hai altri suggerimenti antiphishing da condividere? Caricalo nei commenti.

Aggiornamento, 5 settembre: questo articolo è stato originariamente pubblicato il 22 giugno 2015 e da allora è stato aggiornato.