Cultura della sicurezza e phishing

Oggi vorrei fare due riflessioni sulla cultura della sicurezza e phishing perché ancora oggi moltissime persone cascano nei tranelli del phishing e potrebbero evitarlo in modo molto semplice.

Cultura della sicurezza e phishing

La prima campagna di phishing è del 1996 e fu studiata per sottrarre agli utenti di America Online le credenziali di accesso al servizio per potere navigare gratuitamente.

Cos’è il phishing

È un attacco che si concretizza in un’email che ha lo scopo di rubare dei dati personali, solitamente credenziali di accesso, all’utente in modo da avere accesso illecitamente a informazioni riservate e personali, conti bancari, email, numeri di carte di credito e così via. Maggiori dettagli negli approfondimenti.

L’evoluzione del phishing

La tipologia di attacco è sempre identica. Il phisher, colui che sferra l’attacco, invia un’email camuffandola da email di un’azienda o ente conosciuto e invitando l’utente a cliccare su un link che lo porterà a una versione contraffatta – un clone – del sito dell’azienda o dell’ente che chiederà queste informazioni personali.

Così era ai tempi e così è ancora oggi.

Nel tempo il phishing si è evoluto in modi diversi e ti invito a consultare gli approfondimenti per capire tutte le modalità di attacco ma alla fine il binomio email falsa e sito falso è rimasto tale e quale.

Un’evoluzione di questi ultimi tempi riguarda però le informazioni sottratte perché spessissimo queste sono solo informazioni anagrafiche e personali che servono ai criminali per i furti d’identità, pericolosissimi. Oggi i dati personali della gente sono ambitissimi e uno degli scopi dei phishers è di raccoglierli e venderli al miglior offerente.

Perché le persone cadono nei phishing?

Ho analizzato in altri articoli le modalità ma sostanzialmente possiamo parlare di ansia o paura, curiosità e fretta, il tutto condito da un’abbondante dose di mancanza di consapevolezza informatica di base, cioè di come effettivamente funziona internet e la posta elettronica.

Parlo di “ignoranza” nel senso buono del termine, cioè come mancata conoscenza, perché per evitare di cadere nel phishing bastano pochissime cose e pochissime conoscenze, che però la gente non sa di non avere.

Se solo le persone sapessero cos’è un dominio internet e come funziona, solo questo elemento permetterebbe loro di evitare di cadere nel 90% dei tranelli online. Purtroppo, non avendo queste semplici informazioni, chiunque si fa abbindolare con grave pericolo per la propria vita sociale ed economica.

Un utente normale non è in grado di riconoscere un’email di phishing che arriva, per esempio, da una banca, perché non è a conoscenza di come operano queste aziende su internet. Riconoscere un’email fasulla è però il primo passo perché, anche supponendo che si reputi l’email veritiera, il secondo passo – il click per andare sul sito di phishing – è facilmente verificabile con giusto due nozioni di base che chiunque può sapere.

I filtri antispam sono anche anti phishing?

I Filtri antispam di per sé già filtrano parecchie email di phishing e quindi fanno il loro lavoro, ma non sono infallibili e va prestata sempre attenzione.

Non si può però fare affidamento a un algoritmo che, come detto, non è neppure infallibile; la componente umana è fondamentale e non si può prescindere da un controllo effettuato da una persona in carne e ossa.

Il problema, come ho evidenziato anche nel libro “Manuale di Autodifesa Digitale” sta nel fatto che manca proprio la consapevolezza del pericolo e, di conseguenza, non c’è neanche quell’attenzione a quello che si fa che sarebbe dovuta. Se sai che corri un rischio stai attento, ma se non lo sai vai tranquillo e cadi nel primo tranello che ti capita.

Il problema del phishing è culturale

È culturale perché in molti non hanno la minima idea dei pericoli che possono correre e quindi non prestano la dovuta attenzione, non si formano adeguatamente per comprendere questi pericoli e non hanno neppure idea delle conseguenze di questi attacchi.

Il tutto è enormemente sottovalutato purtroppo.

Lo vedo anche dagli accessi, moltissimi, al mio sito. Il 90% degli accessi sono di persone nuove che prima non avevano visitato il sito. Questo significa una cosa sola; la ricerca viene effettuata quando ci si trova davanti a un’email sospetta e si trova in questo sito la soluzione, ma successivamente l’utente – che questa volta non è caduto nel tranello grazie al mio sito – non torna per mantenersi sempre aggiornato e quindi è pronto a ricadere nuovamente nel tranello successivo.

Come difendersi dal phishing

Come ho detto, il problema è di preparazione e di informazione. Il libro che ho scritto – Manuale di Autodifesa Digitale – ha proprio questo scopo perché è vero che segnalare i phishing in circolare, come faccio su questo sito, è fondamentale, ma è ancora più importante dare a ognuno i mezzi per potersi difendere da solo.

Hai presente l’aforisma cinese che dice

Dai un pesce a un uomo e lo nutrirai per un giorno. Insegnagli a pescare e lo nutrirai per tutta la vita.

Si può applicare alla perfezione al caso del phishing. Se io ti do la soluzione ti risolvo il problema nell’immediato, ma se ti insegno il metodo per riconoscere il phishing, questo metodo lo farai tuo e lo applicherai sempre in modo da non cadere mai nei tranelli attuali ma anche in tutti quelli futuri.

Perché la fantasia dei phishers è inesauribile. Ogni evento nazionale o mondiale può essere un elemento di aggancio per i phishers che si travestono e tentano di fregarti in tutti i modi possibili e immaginabili.

Dato che l’essere umano è l’anello debole, con la conoscenza può divenire l’anello forte che spezza la catena del phishing.

Basta volerlo.

Approfondimenti

Se vuoi essere in grado di capire il metodo per riconoscere subito se un’email è pericolosa e vuoi apprendere anche i metodi segreti che usano gli esperti per farlo in tempo reale, acquista il libro Manuale di Autodifesa Digitale e nessuno potrà più ingannarti!

Dai un voto all'articolo

Cultura della sicurezza e phishing Oggi vorrei fare due riflessioni sulla cultura della sicurezza e phishing perché ancora oggi moltissime persone cascano nei tranelli del phishing e potrebbero evitarlo in modo molto semplice. La prima campagna di phishing è del 1996 e fu studiata per sottrarre agli utenti di America Online le credenziali di accesso al servizio per potere navigare […]
5 1 5 1
5

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Torna in alto