È da tempo che navighi su Internet, quindi è probabile che tu riesca facilmente a distinguere le email fasulle. Tuttavia, anche se magari non hai alcun problema a riconoscere la famigerata truffa del principe nigeriano, alcuni attacchi di phishing più sofisticati potrebbero non essere altrettanto semplici da identificare.
Il numero di attacchi di phishing, smishing (attacchi tramite SMS) e vishing (tramite chiamate vocali) sta crescendo in maniera esponenziale e non dà alcun segno di diminuire. L'anno scorso milioni di persone sono passate allo smart working e questo cambiamento è stato un invito a nozze per i criminali informatici. Perché? Semplice: questi hacker contano sulla probabilità che il tuo sistema di protezione domestica non sia altrettanto efficace quanto i controlli di sicurezza implementati dall'organizzazione per cui lavori. E una sicurezza più debole significa poter accedere con maggiore facilità ai tuoi dati più sensibili.
Non cadere in trappola. Questa settimana, in occasione del mese della sicurezza informatica, daremo un'occhiata ad alcuni consigli pratici sul phishing che ti aiuteranno a rimanere al sicuro sia al lavoro che a casa.
Esamina attentamente i messaggi ricevuti su tutti i canali di comunicazione
Anche se le truffe sfruttano principalmente i messaggi email, i criminali informatici stanno acquisendo dimestichezza anche con altri metodi. Link di phishing, siti di furto delle credenziali e altre tecniche di ingegneria sociale possono essere utilizzati anche tramite SMS, messaggi privati sospetti sui social media o una telefonata strana sul tuo numero di lavoro o personale.
Per tenersi un passo avanti rispetto ai criminali informatici, è importante adottare lo stesso livello di scetticismo e cautela per qualsiasi messaggio, indipendentemente da dove provenga.
Prendi l'abitudine di verificare l'indirizzo email del mittente
Spesso i criminali informatici sono in grado di imitare un indirizzo email e fare in modo che a prima vista sembri praticamente identico a quello di un mittente legittimo. Controlla che il nome di dominio (ovvero la parte dell'indirizzo email dopo il simbolo "@") corrisponda a quello che ti aspetteresti di vedere per quel mittente. L'indirizzo potrebbe venire visualizzato come <mariarossi@
bancalegittima.com>, ma in realtà essere <cybercriminale@azienda
fasulla.com
>.
Consiglio da esperti
: se ricevi un SMS sospetto da un numero di poche cifre, significa che il messaggio è stato inviato da un'email automatica e potrebbe trattarsi di una truffa. Presta attenzione quando ricevi un SMS con link che potrebbero essere di phishing, poiché rischiano di infettare il tuo dispositivo mobile.
Segui il tuo istinto
I criminali informatici cercano sempre un modo per approfittare dei rapporti di fiducia che gli utenti hanno stabilito con aziende rispettabili, parenti, amici e persino colleghi. Se ricevi un messaggio da qualcuno che conosci e di cui ti fidi, ma che sembra avere un tono insolito o che contiene una "richiesta urgente", potrebbe darsi che l'account
di quella persona sia stato compromesso e che qualcuno ne stia usando le credenziali in maniera illecita per inviare messaggi.
Prima di intraprendere qualsiasi azione, verifica la legittimità del messaggio contattando il presunto mittente su un altro canale di comunicazione attendibile. Se ritieni che l'integrità dell'account di un collega potrebbe essere stata compromessa, ti consigliamo di contattare il personale di sicurezza o il team IT per richiedere assistenza.
Il tuo gestore di password può aiutarti a identificare i siti di phishing
Sappiamo già che utilizzare un gestore di password per generare e memorizzare password univoche e complesse è un must per mantenere un livello di sicurezza elevato. Ma sapevi che il tuo gestore di password può anche segnalarti i siti di phishing?
Supponiamo che tu abbia ricevuto un'email di phishing estremamente plausibile, che sembra a tutti gli effetti provenire dalla tua banca. Ha un aspetto legittimo, per cui fai clic sul link che vedi nel messaggio e si apre una pagina che sembra il sito web della tua banca, dove ti viene chiesto di accedere con le tue credenziali. Se normalmente il tuo gestore di password compila automaticamente i campi delle credenziali di quel sito ma questa volta non lo fa, significa che il gestore di password non riconosce l'URL e che ti potresti trovare su un sito di phishing. Questo piccolo accorgimento potrebbe fare un'enorme differenza ed evitarti di servire le credenziali del tuo account agli hacker su un piatto d'argento.
Fai attenzione a non accettare le richieste di autenticazione a più fattori (MFA) senza controllarle
L'autenticazione a più fattori (MFA) fornisce un ulteriore livello di sicurezza che aggiunge un passaggio in più durante la verifica dell'identità di un utente. Supponiamo ad esempio che tu debba accedere al tuo account di Internet banking. Per verificare che il tentativo di accesso è stato effettuato da te e non da un'altra persona con le tue credenziali, ti viene chiesto di immettere nome utente e password, seguiti da un'altra verifica: un codice inviato a un'app di autenticazione o al numero di telefono cellulare associato all'account.
Se ricevi una richiesta MFA senza aver cercato di accedere a un'applicazione o sito web che prevede questa verifica, ti consigliamo di ignorarla o rifiutare la richiesta e modificare immediatamente la tua password per prevenire ulteriori tentativi di accesso illecito al tuo account.
Oltre a questi consigli pratici sul phishing, scopri come
proteggere la tua vita digitale con LastPass.
