Ormai il mondo del phishing è noto ai più. Molti evitano le email sospette, cestinandole direttamente, ma c’è ancora chi ci casca: non per propria colpa, bensì perché questi siti contraffatti sono costruiti talmente bene da poter facilmente indurre in errore chiunque.
Noi di NSM consigliamo innanzitutto di controllare l’indirizzo email dal quale proviene l’avviso, al 99% si comprende se è un indirizzo valido o meno; inoltre, l’Agenzia delle Entrate spiega passo passo cosa fare e cosa non fare in caso di dubbi su email ricevute.NSM è ANCHE SU WHATSAPP E SU TELEGRAM
AVVISO DELL’AGENZIA DELLE ENTRATE
Quando si parla di rischi per la sicurezza dei propri dati, uno dei termini ormai tristemente noti è “phishing”. Si tratta, come sa chi ci è già incappato, di una tecnica con la quale si cerca di carpire informazioni riservate quali, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come la telebanca.
La tecnica con la quale si conduce questo attacco è semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto, per esempio il tracking di un corriere o un’informativa della banca (o magari una comunicazione dell’Agenzia delle Entrate).
Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate.
Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi. Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocuo. Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware.
Un esempio
L’Agenzia delle Entrate, in quanto Pubblica Amministrazione, non è ovviamente al riparo dallo sfruttamento truffaldino del proprio brand aziendale, da parte di malintenzionati, per tentare di dare legittimità a messaggi malevoli. L’esempio che segue è solo uno degli ultimi nei quali è stata coinvolta:
FONTE AGENZIA DELLE ENTRATE