Il phishing, dalle email agli SMS: cos’è? Due casi recenti

Il phishing, trappola informatica che tenta di arrivare ad informazioni personali tramite messaggi digitali e persino ad attingere denaro dal proprio credito, è una forma di truffa online in cui sempre più persone stanno cadendo dall’avvento della tecnologia. Solitamente è un fenomeno caratteristico delle email, ma adesso la frontiera dei messaggi SMS è sempre più diffusa.

Ci sono aziende, come la KnowBe4, che si occupano della sicurezza informatica e analizzano fenomeni come quello del phishing. L’azienda ha effettuato un sondaggio in cui ha studiato sia quali fossero le email di phishing più pericolose (leggi questo articolo) secondo i risultati dei test di simulazione guidati dall’azienda, sia le email ricevute dai dipendenti ed evidenziate come dubbie. Tra esse il “cambio password” e la “disattivazione delle email” da parte di Office.

Con sempre più persone preoccupate per la sicurezza è facile che cedano a truffe relative alle password – afferma Stu Sjouwerman, AD delll’azienda al sito Techrepublic -Questo tipo di messaggi è molto efficace persino per gli operatori del settore“.

Ma il phishing non si ferma alle email e si amplia sempre più. Adesso le nuove frontiere sono gli sms o le applicazioni più usate. Se il tipico attacco di phishing iniziava con un messaggio di posta elettronica  o un banner pubblicitario che ti diceva di aver vinto qualcosa, adesso può apparire un link che dal nulla in Facebook, o un banner in qualche applicazione molto usata dagli utenti o tramite un sms. Eccone due esempi recenti:

Email di phishing: Amazon, account “sospeso”.

Arriva un’e-mail nella quale vieni avvertito sulla temporanea sospensione dell’account.

Il testo del messaggio è accompagnato da un link, cosa che caratterizza quasi tutti i casi di phishing (se non è un link, in altri casi è un banner pubblicitario), sul quale si è invitati a cliccare per un aggiornamento di dati e riattivare l’account.

Un tentativo, quindi, dei cyber criminali di accedere i propri dati attraverso il raggiro, ed arrivare ad usarli e ad usare il proprio credito.

Finto SMS di Poste Italiane chiede di aggiornare i propri dati

In uno dei recenti fenomeni di phishing via SMS (o smishing), dove l’hacker si spaccia per Poste Italiane, viene comunicato alla vittima che la sua utenza è sospesa per mancato aggiornamento.

Viene quindi invitata ad aggiornare i propri dati per evitare il blocco delle utenze postali, ma l’intento della nuova campagna di smishing è ovviamente quello di rubare i dati di accesso (nome utente, password, OTP) e sottrarre denaro dal conto.

L’essere molto generico del messaggio può trarre in inganno sia i clienti di Poste Italiane che chi utilizza quotidianamente i suoi servizi, come ad esempio l’App.

La vittima viene quindi reindirizzata tramite un link su un sito Web malevolo, che richiama in tutto e per tutto a l’App di Poste Italiane, per convincerla a inserire le sue credenziali.

Così, l’utente viene invitato ad inserire il codice di sicurezza OTP (One Time Password) che riceve in quel momento sul suo telefono. A quel punto i criminal hacker operano online per suo conto, prosciugando quanto c’è dentro.

Poste Italiane, da parte sua, ha fatto sapere di non aver mai chiesto ai suoi clienti né chiederà mai telefonicamente o attraverso e-mail, SMS e messaggi sui social network di fornire password, dati delle carte di credito, codici OTP, PIN, credenziali, chiavi di accesso all’home banking o altri codici personali.

per sapere di più su >> Quali le email truffa più pericolose? Al primo posto il “cambio password”

leggi anche >> WhatsApp: messaggio truffa che inventa problemi con la banca. Non fidarsi

Alcuni consigli per tutelarsi da phishing e smishing:

  • Controllare sempre il mittente di messaggi ed email. Se non corrisponde con chi dice di rappresentare non è sicuro.
  • Non cliccare sui link nei messaggi e nelle email di cui non si sa la provenienza.
  • In generale, non rispondere a sms di cui non si conosca il mittente.
  • Non divulgare la propria email e il proprio numero di telefono su social o altri canali, per quanto è possibile.
  • Ricordarsi in generale che Poste, come le banche, non chiedono MAI i dati di accesso; né contattano il cliente via mail o sms per chiedergli di inserire credenziali.

Con un po’ di accortezza, evitando qualsiasi situazione sospetta e senza cadere nell’agitazione proposta spesso dagli kacker, sarà più semplice evitare occasioni di disagio.

Impostazioni privacy