Halloween si avvicina e il phishing si prepara a sfruttare e a festeggiare la ricorrenza più spaventosa dell’anno. Fioccano gli ordini di prodotti per consegne dell’ultimo minuto: costumi, maschere, dolcetti o scherzetti. Ma quando abbiamo fretta, perdiamo la concentrazione: salta l’attenzione nella verifica delle mail ricevute dai corrieri. Per fare presto, si rischia di cliccare link pericolosi. L’incubo peggiore è la fuga di dati.
“Il successo di una campagna di phishing”, commenta Pierguido Iezzi, Ceo di Swascan: “è basato quasi esclusivamente sull’inganno dell’utente finale, sia esso un semplice utente o dipendente. Per farlo utilizza la psicologia, le leve che spingono sui pulsanti della curiosità o della fretta o dell’ansia umana”.
Indice degli argomenti
Halloween nel mirino del phishing
Secondo l’ultimo Brand Phishing Report di Check Point Research (CPR), DHL svetta al primo posto fra i brand più imitati dai criminal hacker in cerca di vittime: raccoglie il 22% di tutti gli attacchi phishing a livello globale. L’obiettivo degli attaccanti è ricavare quante più informazioni possibili sugli utenti, cercando di trafugare dati preziosi.
In un attacco di brand phishing, i criminali tentano di imitare il sito web ufficiale di un marchio noto, sfruttando un nome di dominio o un URL e un design della pagina web simili a quelli del sito autentico.
Il link al sito web fasullo viene inviato a persone mirate tramite email o messaggi di testo, l’utente può essere reindirizzato nel corso della navigazione web o può essere attivato da un’app mobile fraudolenta.
Il sito web fasullo contiene spesso un modulo volto a rubare le credenziali degli utenti, i dettagli di pagamento o altre informazioni sensibili e personali.
“Più le leve della curiosità o della fretta o dell’ansia umana sono convincenti e sofisticate”, continua Iezzi, “più il phishing, ma in generale il social engineering, avrà successo”.
“Abbiamo visto come i criminal hacker abbiano da tempo imparato a trarre spunto dalla quotidianità, prima il Covid fino alla guerra”, mette in guardia Iezzi. “Ma allo stesso tempo facciano affidamento su ricorrenze evergreen come le festività, le comunicazioni da enti o corrieri. Non devono sorprendere le statistiche che ci dicono come queste truffe siano ancora popolari”.
“Tra l’altro, non dobbiamo dimenticare quanto lo smishing – il phishing via SMS o instant messaging – stia affiancando in maniera preponderante il suo “parente” trasmesso via mail. Popolarità ascendente del secondo data dalla generale minor attenzione che tutti noi prestiamo alle comunicazioni mobile e alla falsa impressione che i device che portiamo in tasca siano in qualche modo più sicuri”, conclude Iezzi.
Come proteggersi
CPR invita gli utenti a prestare sempre la massima attenzione nel divulgare i dati personali e le credenziali alle applicazioni o ai siti Web aziendali.
Bisogna scaricare le app solo da marketplace ufficiali, evitando di effettuare il download di applicazioni inutili, che magari verranno utilizzati solo una volta.
Infine, occorre evitare di aprire gli allegati o link presenti nelle email, in particolare quelli che dichiarano di provenire da aziende come DHL, Microsoft o LinkedIn (il brand più imitato sia nel primo che nel secondo trimestre del 2022), in quanto è più probabile che siano frutto di imitazione da parte dei criminal hacker.
