Cosa hanno in comune le e-mail con l’intestazione “Hai vinto un milione di dollari” e “Il tuo account è bloccato”? Sono quasi sempre segni di una truffa. Il loro scopo è quello di convincere il destinatario a seguire un link a un sito di phishing e a inserire informazioni riservate: login e password o dettagli del conto bancario. Ecco come individuare il phishing e proteggersi.
1. Controllate attentamente le vostre e-mail
Quando ricevete un’e-mail, non affrettatevi a rispondere o a seguire le indicazioni. La prima cosa da fare è individuare i segni tipici del phishing. Quali sono i campanelli d’allarme?
- Un oggetto drammatico. Temi comuni includono grandi trasferimenti di denaro, compensazioni finanziarie, account violati o bloccati, e transazioni fraudolente, argomenti che attirano l’attenzione e che probabilmente scatenano una risposta emotiva, spesso giocando sull’avidità o la paura.
- Enfasi sulla gravità della situazione. Frasi come “Ultimo avviso!” o “Mancano solo 3 ore” così come l’uso eccessivo di punti esclamativi hanno lo scopo di farvi affrettare, entrare nel panico e abbassare la guardia.
- Errori, refusi e strani caratteri nel testo. Alcuni criminali fanno davvero fatica con l’inglese, anche se i cybercriminali a volte fanno di proposito errori come “milion” o usano lettere di alfabeti diversi nel tentativo di aggirare i filtri antispam.
- Indirizzo del mittente incoerente. Un indirizzo e-mail con un carico di lettere e numeri casuali o il nome di dominio sbagliato sono segni sicuri di falsificazione quando un mittente afferma di scrivere da una grande organizzazione.
- I link nell’e-mail se li contiene, o il sito web a cui portano, per essere più precisi. È possibile controllare un link passando il cursore su di esso e leggendo attentamente l’indirizzo. I criminali sperano che le vittime non prestino abbastanza attenzione nell’individuare le piccole modifiche apportate ai nomi di aziende o marchi noti, pensate a sumsung.com o qoogle.com. Controllate attentamente ogni link.
Questi controlli dovrebbero essere sufficienti nella maggior parte dei casi per individuare una e-mail inviata come parte di una truffa di phishing di massa. Tuttavia, i nomi e gli indirizzi dei mittenti possono essere falsificati, i link possono essere accorciati per renderli illeggibili, e le catene di reindirizzamento automatico possono essere impostate per portare da indirizzi web meno sospetti al sito web di phishing vero e proprio. Questo è il motivo per cui è meglio evitare del tutto di seguire i link inviati nelle e-mail, se possibile, a meno che non sia uno che avete chiesto voi. Per esempio, se ricevete un avviso che sembra provenire da una banca o da un negozio online, chiamate per confermare.
Potete anche controllare se un premio è reale usando un motore di ricerca per consultare il sito ufficiale della società che si suppone lo stia assegnando, lì potrete controllare le informazioni sul premio. Questi sono solo alcuni esempi, ma il nostro consiglio è davvero lo stesso a prescindere: se volete controllare un link da una e-mail non richiesta, cercate di farlo in modo indiretto.
2. Non abbassate la guardia nelle app di messaggistica o sui social network
La posta elettronica non è l’unica cosa a cui dovete fare attenzione. I messaggi che ricevete nelle app di messaggistica e nei social network hanno lo stesso potenziale di pericolo; potete trovare link dannosi nei post di amici su Facebook, nei commenti pubblicati da falsi testimonial su Twitter, o nei DM su Discord.
Trattate anche i banner con cautela; le immagini che mostrano potrebbero non avere nulla a che fare con il sito web a cui vi portano. Le piattaforme dove vengono pubblicati i banner di solito non controllano ciò che gli utenti vedono o dove vengono reindirizzati. Anche un sito web perfettamente rispettabile può offrire annunci che portano a siti web di phishing.
Cosa si può fare? Come per le e-mail, controllate attentamente ogni link, e se possibile non cliccateci affatto.
3. Fermatevi e pensate prima di inserire le informazioni del conto bancario
I dati della carta di credito sono particolarmente sensibili perché forniscono un accesso diretto al vostro denaro. Ecco perché, indipendentemente da come avete raggiunto un sito web, dovreste ricontrollare un’ultima volta dove vi trovate realmente prima di inserire quei dati.
Per prima cosa, date un’occhiata da vicino all’indirizzo. State cercando gli stessi campanelli d’allarme: errori di battitura, numeri al posto delle lettere, trattini in posti inaspettati e strani nomi di dominio. Se vedete qualcosa del genere, lasciate stare il sito web e provate a inserire l’indirizzo manualmente.
Poi, rimanendo nella barra degli indirizzi, cliccate sull’icona del lucchetto a sinistra. Il lucchetto non è una garanzia di sicurezza, ma da esso si può sapere di più su chi possiede il sito web (i browser hanno nomi diversi per le relative schede, come Certificati o Connessione sicura).
Se fate molto shopping online, compresi gli acquisti da piccole aziende e venditori privati, vi raccomandiamo di usare una carta a parte. Tenete una piccola quantità di denaro su di essa e trasferiteci il denaro poco prima di averne bisogno. In questo modo, anche se i dettagli della carta vengono rubati, non perderete una grande quantità di denaro.
4. Usate password diverse
Se usate la stessa password per diversi account, anche se è una password molto affidabile, rischiate che tutti i vostri account siano compromessi se a un certo punto la inserite su un sito di phishing. È importante usare una password unica per ogni sito web e app.
Se trovate difficile inventare e ricordare decine di nuove password per ogni pizzeria e negozio online, usate un password manager per crearle, gestirle e usarle.
Un password manager agisce anche come un ulteriore controllo per prevenire il phishing. Se aprendo un’app o un sito notate che non si è compilato automaticamente il vostro login e la vostra password, probabilmente vi siete imbattuti in un sito non affidabile. Potrebbe sembrare normale ad occhio umano, ma se ha un indirizzo diverso, il gestore di password non compilerà le credenziali dell’account.
In secondo luogo, i password manager possono generare password difficili da violare.
In terzo luogo, alcuni password manager hanno utili funzioni aggiuntive. Per esempio, Kaspersky Password Manager controlla le vostre password e vi avvisa se sono deboli, se vengono usate per diversi account, o se sono già in un database di password compromesse.
5. Impostate l’autenticazione a due fattori per proteggere gli account
Molti attacchi di phishing mirano a hackerare gli account, ma anche se i criminali informatici ottengono il vostro login e la vostra password, potete comunque impedire loro di accedere, impostando l’autenticazione a due fattori, quando possibile. Una volta fatto, avrete bisogno di un ulteriore codice di verifica temporaneo per accedere. Lo riceverete via e-mail, SMS o in un’app di autenticazione. I cybercriminali non ne riceveranno uno.
Tenete presente, tuttavia, che i phisher possono anche creare false pagine di login che richiedono anche codici di autenticazione a due fattori univoci. Ecco perché è meglio proteggere gli account importanti utilizzando l’autenticazione basata sull’hardware con una chiave USB come YubiKey o Titan Security Key di Google.
Alcuni autenticatori usano NFC e il Bluetooth per connettersi ai dispositivi mobili. Il vantaggio di usare una chiave di sicurezza basata sull’hardware è che non rivelerà mai nulla su un sito web falso. Una pagina web dovrà inviare una richiesta corretta per ottenere la risposta dall’autenticatore, ed è qualcosa che solo un vero sito web sa fare.
6. Utilizzate una protezione affidabile
È certamente difficile essere costantemente alla ricerca di campanelli d’allarme e controllare ogni singolo indirizzo, link e così via. Tuttavia, è un compito che si può automatizzare, e si può contare su soluzioni di sicurezza come Kaspersky Security Cloud per proteggersi dal phishing. La protezione basata sul cloud vi avviserà in tempo se cercate di andare su una pagina dannosa e bloccherà la minaccia.