Come riconoscere ed evitare gli attacchi informatici più comuni

Navigare in rete, proprio come guidare nel traffico, è a tutti gli effetti una necessità per molte persone. Entrambe le attività, però, comportano dei rischi. Secondo la CISA, l’agenzia statunitense che si occupa di cibersicurezza e sicurezza infrastrutturale, i computer presenti in una casa su tre sono infetti da software dannoso e il 65% degli americani che accedono a Internet subisce almeno un tentativo di truffa. Proprio come è possibile guidare prestando attenzione ai pericoli per prevenire incidenti, tuttavia, imparare a riconoscere gli attacchi informatici per prevenire incidenti di violazione può aiutarvi a garantire protezione sia a voi stessi che alle vostre informazioni. Malgrado molte delle minacce informatiche vengano contrastate automaticamente dagli antivirus, dai firewall e dalle altre misure di protezione che adottiamo, quelle più pericolose tendono ad approfittare di un fattore vulnerabile per raggirare le nostre difese: quello umano! Alcune prevedono un’interazione diretta con la vittima e rientrano nella categoria dell’ingegneria sociale, mentre altre gettano semplicemente l’amo e restano in attesa che un utente ignaro prima o poi abbocchi (ad es., le app contraffatte che si trovano negli store non regolamentati). In questo articolo, cercheremo di approfondire entrambi i tipi di minacce e cosa potete fare per evitarle, oltre a rispolverare la questione del riutilizzo delle password, insieme ai rischi che comporta e all’approccio più corretto da adottare.

Ingegneria sociale

Con il termine “ingegneria sociale” si intende un’ampia gamma di attività dannose accomunate da un approccio di base fondamentalmente simile: interagire direttamente con la vittima prescelta (tramite e-mail, SMS, telefonate o in altro modo) per indurla a condividere informazioni sensibili o a visitare un sito progettato per infettarne il computer con malware. Anche se gli attacchi di questo tipo sfruttano tutti il fattore umano, possono variare nelle tecniche utilizzate e nei segnali rivelatori, dunque diamo insieme un’occhiata a quelli più comuni. Phishing Si tratta della forma più diffusa di attacco informatico, che vede all’incirca 3,4 miliardi di email fraudolente inviate ogni giorno. Questi messaggi sono confezionati in modo tale da sembrare comunicazioni inviate da mittenti legittimi e sfruttano un ventaglio di argomenti o approcci, noti come “esche”, per tentare di indurre i destinatari a interagire con le e-mail. Tra le esche più diffuse, alcune fanno leva su avvenimenti attuali come festività o disastri naturali per attirare l’attenzione, altre sostengono di provenire da società rinomate informando gli utenti che il proprio account è stato compromesso, mentre altre ancora includono una fattura fasulla per un recente acquisto di una certa entità indicando un tempo limitato per contestare l’addebito. Lo scopo di queste e-mail è di sottoporre i destinatari a una pressione psicologica che li induca a reagire, che sia per puro interesse o per il sospetto di aver subito qualche altro tipo di frode. Come proteggervi dagli attacchi di phishing Un tempo, la quantità di errori grammaticali e ortografici ci diceva chiaramente che avevamo ricevuto un’e-mail di phishing. Con la diffusione di ChatGPT e di altri modelli LLM, tuttavia, ora gli autori di minacce sono in grado di realizzare messaggi e-mail molto convincenti e accurati dal punto di vista linguistico, che sono molto più difficili da riconoscere. Alla luce di ciò, l’approccio ideale consiste nel trattare con cautela qualsiasi e-mail ricevuta da mittenti sconosciuti e seguire queste pratiche ottimali:

• Assicuratevi di controllare tutte le informazioni su chi vi invia un’e-mail che vi chiede di cliccare su un link o di chiamare un centro assistenza. A titolo esemplificativo, potreste ricevere un’e-mail che sembra provenire da un’azienda conosciuta, ma controllando l’indirizzo di posta elettronica potreste notare che invece è stata inviata da un dominio che non corrisponde. Ad esempio:
• Non cliccate sui link delle e-mail ricevute da mittenti che non conoscete.
• Se siete in dubbio, rivolgetevi direttamente all’azienda che sostiene di avervi contattato e, per farlo, usate le informazioni presenti sul sito ufficiale in modo da verificare la legittimità del messaggio.
• Affidatevi al vostro gestore di password: se è impostato per inserire automaticamente le informazioni di accesso agli account conosciuti ma sul sito che state visitando stranamente non lo fa, allora potrebbe trattarsi di un tentativo di phishing.

Vishing Il termine vishing, composto derivante dalle parole “voice” e “phishing”, è l’equivalente orale del phishing. Nei tentativi di phishing vocale, il truffatore solitamente chiama la vittima designata presentandosi come dipendente di un’azienda rispettabile, delle forze dell’ordine o del fisco per indurlo a fornire dati sensibili, come numeri di carte di credito o di previdenza sociale, password o informazioni finanziarie. Come proteggervi dagli attacchi di vishing

• Consentite a chi vi chiama da un numero sconosciuto di lasciarvi un messaggio in segreteria.
• Contattate direttamente l’azienda o l’agenzia per cui questa persona sostiene di lavorare in modo da confermare la legittimità della sua richiesta. Telefonate al numero presente sul sito ufficiale dell’azienda o dell’agenzia in questione, anziché usare quello fornito dal potenziale truffatore.

Smishing Lo smishing, simile al vishing, è un’altra forma di phishing con cui i truffatori ricorrono ai messaggi di testo per colpire le proprie vittime. Tra gli SMS più comuni, alcuni includono link a siti fraudolenti mentre altri riportano come mittente un servizio di spedizione, un’azienda affidabile o un ente rispettabile. Il contenuto di questi messaggi solitamente dice che il vostro account è stato violato e vi invita a effettuare l’accesso (a un sito contraffatto) per rubare le vostre credenziali. Un’altra tattica abbastanza diffusa consiste nell’inviare un SMS fingendo di essere uno dei dirigenti senior dell’azienda per cui lavora il destinatario, con la richiesta di acquistare un buono regalo per suo conto. In questi messaggi, spesso si legge che il dirigente, essendo impegnato in una riunione, non può occuparsene in prima persona e ha bisogno di un aiuto immediato. Si tratta di una tattica che ha lo scopo di infondere nel destinatario un senso di urgenza nella speranza che agisca in fretta senza riflettere sulla potenziale minaccia. Come evitare gli attacchi di smishing

• Assicuratevi di non rispondere ai messaggi di testo indesiderati né di aprire i link che contengono.
• Verificate l’identità del mittente prima di intraprendere qualsiasi azione.
• Eliminate tutti i messaggi di smishing e, se possibile, segnalateli al vostro gestore di telefonia mobile e/o all’azienda da cui l’SMS sostiene di provenire.

Applicazioni dannose

Alcuni hacker sviluppano applicazioni che richiamano marchi rinomati e affidabili con l’intento di trafugare informazioni e/o diffondere malware nei dispositivi degli utenti. Queste applicazioni sembrano in tutto e per tutto identiche alle applicazioni ufficiali e possono essere molto difficili da riconoscere. Esistono tuttavia alcune accortezze che potete usare per evitare di rimanere vittime di una di queste imitazioni:

• Usate solo gli store ufficiali, come l’App Store o Google Play.
• Verificate lo sviluppatore dell’applicazione. Per esempio, LastPass cita LogMeIn, Inc. come sviluppatore sullo store di Apple e GoTo Technologies su quello di Google. La presenza di qualsiasi altro sviluppatore indicherebbe con ogni probabilità che l’applicazione ha un contenuto dannoso.
• Verificate la presenza di errori ortografici o grammaticali nella descrizione dell’applicazione.

Riutilizzo delle password

Secondo il rapporto di LastPass sulla psicologia delle password del 2022, quasi il 62% delle persone usa varianti della stessa password e, tra coloro che sono stati informati sui rischi che potrebbero derivare dal riutilizzo delle password, solo il 31% ha abbandonato questa pratica, mentre il 25% ha iniziato a usare un gestore di password. L’eventuale compromissione di queste password comporterebbe un rischio enorme per quelle persone perché un criminale informatico potrebbe usarle nei propri attacchi. Secondo il Data Breach Investigations Report di Verizon del 2023, infatti, nell’86% degli attacchi alle applicazioni Web di base che hanno comportato una violazione dei dati sono state impiegate credenziali rubate. La cosa migliore da fare è creare password univoche e complesse per ogni account e potete sfruttare un gestore di password per farlo. E dal momento che l’autenticazione senza password presto sarà una realtà per tutti, sarebbe meglio sceglierne uno che semplifichi l’adozione di questa nuova tecnologia. Le minacce IT sono ormai ovunque, ma imparare a riconoscere quelle più comuni e adottare alcune semplici misure per evitarle può aiutarvi a proteggere voi stessi, i vostri familiari e la vostra azienda dalle violazioni di dati e da altri attacchi informatici.