Difendersi dal phishing

Pensate che il phishing sia un attacco ormai passato di moda? Vi invito a riconsiderare la questione. Nonostante i filtri antispam più efficaci a protezione della posta elettronica filtering, Anti-Phishing Working Group segnala un aumento del 18% dei report relativi ad attacchi unici di phishing nell’ultimo trimestre del 2014, e ora che siamo all’inizio del 2016 gli esperti in materia di sicurezza prevedono che questi dati siano destinati a crescere.

Il phishing è ancora una tattica molto utilizzata per sottrarre informazioni sensibili come password, codici di sicurezza e numeri delle carte di credito, oltre a introdurre malware in dispositivi personali e in sistemi aziendali. Anche un account LastPass potrebbe essere oggetto di un attacco di phishing. La protezione contro il phishing richiede sia un rilevamento più efficace da parte del software che utilizziamo, sia una migliore preparazione individuale come prima linea di difesa.

Ecco come LastPass combatte il phishing e cosa potete fare per migliorare la vostra capacità di rilevare un attacco, proteggendo le vostre informazioni più sensibili nel momento in cui siete colti alla sprovvista.

Che cos’è il phishing?

Gli attacchi di phishing si presentano in forme diverse. Potreste ricevere un’e-mail apparentemente proveniente dalla vostra banca nella quale vi viene richiesto di confermare le attività del vostro conto, oppure una fattura falsa con la richiesta di scaricare il documento allegato per confermare l’acquisto. Potrebbero essere diffuse pubblicità dannose o inviati link ai social media. Gli autori degli attacchi potrebbero giungere fino al punto di indirizzarvi a una pagina di login clonata quasi perfettamente da un sito web a voi ben conosciuto e affidabile che utilizzate.

Lo spear-phishing è una forma di attacco ancora più personale. Gli autori degli attacchi inviano e-mail che apparentemente provengono da un collaboratore o da un responsabile o dal vostro reparto IT. Legittimano le loro richieste utilizzando i dati che hanno appreso su di voi per ottenere altre informazioni o per fare in modo che scarichiate un file dannoso o che effettuiate un pagamento.

Come individuare gli attacchi di phishing

Molti attacchi di phishing si individuano facilmente, ma alcuni sono più sofisticati: è necessaria, dunque, una buona dose di scetticismo per identificare le e-mail, i link e le notifiche sospetti. Come individuare gli attacchi di phishing:

  • Controllate l’URL: osservate la barra dell’indirizzo del sito web che avete aperto o passate il puntatore del mouse sopra il link per vedere l’URL che compare nella barra in fondo a sinistra del vostro browser. In questo modo potete avere la conferma che si tratti di un URL affidabile e non dell’attacco di un impostore, prima di aprire il sito. Per esempio, con LastPass vedrete sempre https://lastpass.com oppure https://subdomain.lastpass.com. L’URL di un attacco di phishing potrebbe presentarsi come http://lastpass.otherdomain.com. In questo caso il dominio è “otherdomain.com” e deve essere evitato.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Controllate il destinatario: siate scettici nei confronti di e-mail che si rivolgono semplicemente a voi come “Caro cliente” o senza formula di saluto. In generale la maggior parte dei rivenditori al dettaglio tende a rivolgersi al cliente chiamandolo per nome. Gli attacchi di spear-phishing, tuttavia, sono di frequente indirizzati a voi in modo specifico, quindi non a prova di errore.
  • Aprite voi stessi il sito web: se non siete sicuri, aprite una nuova scheda o finestra nel browser, immettete direttamente l’URL (o apritelo tramite il programma di gestione delle password) e vi renderete conto se si tratta di un sito legittimo.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Controllate se il programma di gestione delle password indica un login corrispondente: LastPass può aiutarvi a difendervi dal phishing evitando di compilare automaticamente i vostri dati di login su un sito fasullo. Se il dominio non corrisponde a quello memorizzato in LastPass, i dati non verranno compilati. In questo caso controllate l’URL.
  • Se venite invitati ad agire con urgenza, reagite con calma: qualsiasi richiesta vi venga rivolta per invitarvi ad agire rapidamente potrebbe essere un tentativo di indurvi a fare qualcosa senza riflettere.
  • Fatevi qualche domanda: ho chiesto a questa persona di inviarmi un allegato? È qualcosa che non è tipico di quella persona? Se avete dei dubbi, siate scettici e chiedete.
  • Controllate l’HTTPS:// e il lucchetto: quando visitate un sito web, per la vostra sicurezza controllate sempre nella barra dell’URL di essere connessi mediante HTTPS, e che sia presente l’icona con il lucchetto che indica che il sito web è stato verificato da un’autorità attendibile. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Quando il phishing attacca il vostro programma di gestione delle password

Gli attacchi di phishing non sono più limitati alle e-mail, agli annunci pubblicitari o ai link ai social media dannosi. Alcuni attacchi di phishing mirano anche alle estensioni che usate nel vostro browser, arrivando ad assumere le sembianze del vostro programma di gestione delle password.

Per esempio, è possibile che un sito web dannoso assuma le sembianze della vostra estensione del browser mostrando notifiche che richiedono dati come il nome utente, la password e il codice di autenticazione a due fattori. Potrebbe essere difficile stabilire che le notifiche provengono dal sito dannoso anziché dall’estensione del proprio browser.

Come LastPass vi protegge dagli attacchi di phishing

  • Avviso se la master password viene inserita in una pagina non di LastPass: LastPass mostra un avviso con una finestra popup già quando effettuate il tentativo di inserire la master password su una pagina non di LastPass. Saprete immediatamente che la vostra master password potrebbe essere stata compromessa e avrete la possibilità di modificarla.
  • Richiesta di verifica per login da ubicazioni o dispositivi sconosciuti: LastPass esegue un processo di verifica tutte le volte che provate a effettuare il login da ubicazioni o dispositivi sconosciuti. Pertanto, se inserite involontariamente la master password e il codice di autenticazione a due fattori, qualsiasi tentativo da parte dell’autore dell’attacco di usare i dati verrebbe impedito da parte del processo di verifica per e-mail. Anche l’autore dell’attacco avrebbe necessità di accedere al vostro account e-mail; questo rischio potrebbe essere mitigato dall’autenticazione a due fattori richiesta per l’accesso. Se vedete una richiesta di verifica che non avete presentato, potete ignorarla e aggiornare la master password nelle impostazioni dell’account, nel vostro vault LastPass.
  • Impedire il logoff: una pagina dannosa potrebbe mostrare una notifica di LastPass fasulla che vi informa che è stato eseguito il logout e che è necessario effettuare nuovamente l’accesso. Vi invitiamo a verificare se siete ancora collegati nell’estensione LastPass e a effettuare l’accesso tramite l’estensione stessa.

Oltre a queste precauzioni, chiediamo a Google e altri browser di aiutarci a proteggere ulteriormente gli utenti offrendo modalità sicure di visualizzazione delle notifiche al di fuori dell’area di visualizzazione del browser.

Come potete aiutarci a proteggere il vostro account LastPass

Oltre alle misure di sicurezza che offriamo, voi stessi potete mantenere sicuro il vostro vault applicando le seguenti best practice:

  • Eseguire sempre il login tramite l’estensione di LastPass. Il modo più sicuro per eseguire il login a LastPass è fare clic sull’icona dell’estensione nella barra degli strumenti del browser.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Non riutilizzate mai la vostra master password. Il riutilizzo della master password aumenta il rischio di furto del vostro vault. Utilizzate sempre una master password unica per LastPass e prestate attenzione al nostro avviso, se inserite la vostra master password per una finalità che non sia il login a LastPass.
  • Prestate attenzione quando scaricate LastPass. Scaricate sempre LastPass da LastPass.com o dai siti di vendita degli addon presenti nel vostro browser o dispositivo. Non scaricate mai il programma da siti di terzi, e anche nei siti di vendita degli addon prestate attenzione a prodotti che sono simili a LastPass, se il nome dell’editore è diverso e non hanno valutazioni.
  • Non condividete mai la vostra master password. Il team di LastPass non vi chiederà mai la master password. State in guardia se qualcuno che afferma di collaborare con LastPass vi chiede la master password. Non divulgate mai la vostra password, per nessun motivo.
  • Aggiungete l’autenticazione a due fattori. Un sistema di sicurezza efficace si basa su livelli di protezione che mitigano il rischio. L’autenticazione a due fattori richiede altre informazioni prima che sia possibile accedere all’account. Non si tratta certo di una formula magica, ma è comunque un provvedimento che contribuisce alla protezione dell’account.
  • Proteggete la vostra posta elettronica con una password forte e l’autenticazione a due fattori. Il vostro account e-mail spesso è la chiave del vostro forziere. Proteggetelo come se da esso dipendesse la vostra vita digitale perché potrebbe essere così. LastPass può generare una password forte ma “pronunciabile” per il vostro account che potete memorizzare, se preferite. E attivate sempre l’autenticazione a due fattori se il vostro provider ve ne offre l’opportunità.

La sicurezza online deve essere un impegno continuo per tutte le parti. Dal canto suo LastPass si impegna a migliorare il suo prodotto nel momento in cui compaiono nuove minacce e collabora con la comunità dei ricercatori per renderlo più solido. Noi come utenti dobbiamo impegnarci a seguire queste best practice per la nostra sicurezza.