Cos’è lo spear phishing e come difendersi

Ogni tanto nell’informatica salta fuori un nuovo termine con il quale dobbiamo avere a che fare e inevitabilmente tale termine è in inglese. Questa volta si tratta dello spear phishing quindi oggi vediamo cos’è lo spear phishing e come difendersi.

Cos'è lo spear phishing e come difendersi

Il phishing è l’invio di mail fasulle che tentano di farsi passare per quello che non sono per fare in modo che il destinatario inserisca i propri dati personali, nome utente e password o dati della carta di credito, in un sito che si camuffa da sito legittimo, solitamente quello di una banca o di un istituto di carte di credito.

In pratica ti arriva un’email che sembra mandata da PostePay e che ti dice di fare il login sul sito PostePay per confermare i tuoi dati e ti da un link. Tu clicchi su un link, vedi un sito che sembra PostePay ma in realtà è un clone che ti ruba i dati.

Lo spear phishing è sostanzialmente identico, solo che vengono prese di mira poche persone attentamente selezionate tramite analisi dei comportamenti sui social e le email sembrano provenire da conoscenti o amici.

In sostanza un phishing con un po’ di ingegneria sociale tramite raccolta di informazioni personali che servono a fare sembrare più vere le email.

Fondamentalmente nulla di nuovo ma ormai tutti sono abituati alla classica email della banca che chiede di confermare i propri dati, e in molti stanno attenti o, grazie anche a questo blog, sono al corrente che potrebbe essere una truffa.

Diverso potrebbe essere se il mittente è una persona che conosci, un amico, che magari ti chiede di fare qualcosa che non desta sospetti ma che, in realtà, potrebbe appunto essere un tentativo di spear phishing.

Supponi che ti arrivi un’email da un tuo superiore che ti chiede di fare un bonifico. Tu dai per scontato che l’email sia veritiera e che il bonifico sia da fare perché non sei abituato a chiedere o perché finora non ce n’è mai stata la necessità. Questa email può essere un’email di spear phishing fatta da qualcuno che conosce i meccanismi all’interno della tua azienda e che sa come comportarsi. Tu fai il bonifico senza pensarci sopra e poi scopri che quell’email non arrivava dal tuo superiore ma da altri.

Non posso darti nessun consiglio questa volta se non di stare sempre attento a quello che fai ed evitare nel modo più assoluto di lasciare tuoi dati personali senza prima controllare dove.

Anche il comportamento sui social dovrebbe avere un minimo di accortezza perché molti non si accorgono che da un’analisi dei propri post si può risalire senza alcun problema al proprio profilo e stile di vita e da lì ricavare tantissime informazioni che potrebbero essere usate contro di te.

Mentre ai tempi si parlava di ingegneria sociale quando qualcuno analizzava il tuo comportamento nella vita di tutti i giorni o scavando tra i tuoi rifiuti, ora molte più informazioni possono essere recuperate semplicemente vedendo cosa l’utente fa sui social network.

Oppure, anche senza scomodare i social, basta che sia qualcuno che, anche a grandi linee, conosce i flussi e le persone all’interno della tua azienda o della tua organizzazione e quindi sa cosa fare e come farlo.

Ti consiglio di leggere sempre e stampare il vademecum in 18 punti che ti fa capire se un’email è reale o un tentativo di phishing. Ti eviterai un sacco di problemi e riuscirai a difenderti efficacemente dal phishing.

Approfondimenti

Dai un voto all'articolo

Cos’è lo spear phishing e come difendersi Ogni tanto nell’informatica salta fuori un nuovo termine con il quale dobbiamo avere a che fare e inevitabilmente tale termine è in inglese. Questa volta si tratta dello spear phishing quindi oggi vediamo cos’è lo spear phishing e come difendersi. Il phishing è l’invio di mail fasulle che tentano di farsi passare per quello che non […]
5 1 5 2
5

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Torna in alto