Che cos'è esattamente il phishing e quali sono le tecniche utilizzate dagli scammer?
Non sono mai stato un fan della pesca, me stesso. Questo è principalmente a causa di una prima spedizione in uno stagno dove mio cugino è riuscito a catturare due pesci con un palo di bambù, mentre l'asta di rinforzo in fibra di vetro fantasia mi aveva catturato zip, zero, nada.
Simile alla pesca nella vita reale, le truffe di phishing non sono sempre le migliori quando si basano su tattiche avanzate, ma ci sono molte nuove tecniche motivate dai social network. Allora, cos'è il phishing e di cosa dovresti diffidare?
Le basi del phishing
Secondo il Microsoft Safety & Security Center, il phishing può essere riassunto come:
“Un tipo di furto d'identità online. Utilizza e-mail e siti Web fraudolenti progettati per rubare dati personali o informazioni quali numeri di carte di credito, password, dati dell'account o altre informazioni”.
In altre parole, i phisher sono i Loki di Internet. Sono imbroglioni. Spesso le tecniche utilizzate dai phisher non hanno assolutamente nulla a che fare con lo sfruttamento delle minacce zero-day. Invece, sfruttano la psicologia umana.
C'è un punto su cui non sono d'accordo con Microsoft, tuttavia, e questa è la loro descrizione di phishing come “un tipo di furto d'identità online”. Questo non è sempre il caso. Come spiegherò in alcuni esempi di truffe recenti, le tattiche di phishing vengono spesso utilizzate per raccogliere dati o per indurre le persone ad acquistare un prodotto.
Phishing tradizionale
In molti casi, Microsoft è corretto. Molti attacchi di phishing sono tentativi di sottrazione di informazioni personali. Spesso lo fanno usando la manipolazione dei link e la contraffazione dei siti web. L'esempio tradizionale è un'e-mail che sembra provenire da una fonte legittima, come la tua banca. Sostiene che c'è stato qualche problema, o forse ti offre un tasso di interesse più basso su una carta di credito. Tutto quello che devi fare è accedere tramite il link nell'e-mail, che sembra legittimo.
Ma non lo è. Il collegamento è stato manipolato per sembrare corretto, ma in realtà ti reindirizza a un sito Web contraffatto. Una volta che hai inserito i tuoi dati di accesso, il phisher ce l'ha, e può usarlo per accedere e usare il tuo account. A volte, l'attacco andrà oltre e richiederà di inserire dati personali come il numero di previdenza sociale, il numero di carta di credito, l'indirizzo e così via. Il furto di identità è solo un salto, un salto e un salto lontano da lì.
Il phishing tradizionale può essere contrastato rifiutando di seguire i collegamenti in tali e-mail. Se ricevi qualcosa dalla tua banca che afferma che devi accedere al tuo account, vai sul sito web della tua banca inserendo manualmente l'URL e quindi accedi. In effetti, alcune banche e altre organizzazioni non inviano più nemmeno link agli utenti proprio perché fare ciò rende gli attacchi di phishing più efficaci, poiché gli utenti diventano confusi su ciò che è e non è legittimo.
Puoi anche combattere il phishing utilizzando una suite di sicurezza Internet con funzionalità anti-phishing. Questi monitorano il tuo browser e cercano i segni che un sito Web è un falso. Estensioni come Web of Trust 7 Download essenziali di sicurezza DEVI aver installato 7 Download di sicurezza essenziali DEVE essere installato Leggi di più può anche essere efficace.
Phishing telefonico
Negli ultimi anni, il phishing telefonico è diventato una tattica popolare. Il mese scorso ho ricevuto una telefonata che dichiarava di provenire dalla Federal Credit Union Administration, che ha dichiarato che la mia carta di debito era stata bloccata a causa di un potenziale furto d'identità. Tutto quello che dovevo fare per correggere la situazione era dare loro i dati della mia carta di debito, in modo che il mio account potesse essere verificato. Certo, è una truffa totale, e quella che va avanti da anni. Se inserisci le tue informazioni, può essere facilmente utilizzato per acquisti fraudolenti.
Non esiste una soluzione software per questa particolare minaccia, quindi devi semplicemente essere scettico. Se ricevi una chiamata da un'organizzazione che desidera informazioni personali, richiamale a un numero quotato pubblicamente, piuttosto che a quello fornito nella segreteria telefonica. Il phishing telefonico tende anche a darsi via da essere vago - in genere, non pretende di essere effettivamente dalla società o dalla banca della carta di credito in particolare, ma qualcosa di più generale, come ad esempio il “Amministrazione federale delle banche di credito” chiamata che ho ricevuto.
Social Network Phishing
L'ascesa dei social network ha dato nuova vita al phishing. Dopotutto, i social network sono tutti di condivisione. Non è affatto insolito che un amico pubblichi un link a un articolo elegante, quindi gli utenti hanno meno probabilità di essere scettici e più propensi a fare clic su un link di phishing.
Questa è la brutta notizia. La buona notizia è che il phishing sui social network di solito non è così grave. Di solito, l'inganno sarà qualcosa di simile alle recenti truffe sulla morte di Steve Jobs Steve Jobs Scams Diffusione tramite Social Networking [Novità] Steve Jobs Scams diffuse tramite Social Networking [Novità] I malintenzionati online che si concentrano sui social media amano sfruttare le tue emozioni . Ti convincono che puoi vedere i tuoi stalker di Facebook, travestirsi da attivisti politici e persino usare il lutto per generare clic ... Leggi altro, che cercano semplicemente di raccogliere indirizzi email o inviare persone a link affiliati. Potresti essere infastidito dallo spam aggiuntivo, ma il gioco è fatto.
Tuttavia, alcuni di questi attacchi possono essere abbastanza dannosi. Le banche hanno anche i feed di Twitter e le pagine di Facebook, e quelli falsi possono essere usati per tentare di attirare gli utenti su siti Web falsificati, proprio come un'e-mail fasulla. Anche questi account possono essere hackerati. La Bank of Melbourne lo ha sperimentato, anche se, come spesso accade con i phisher, i messaggi inviati dall'account compromesso non erano di qualità sufficientemente alta da ingannare molte persone.
Il phishing sui social network può essere combattuto allo stesso modo del phishing tramite e-mail. Il software di sicurezza e le estensioni possono aiutare. Puoi anche utilizzare un'estensione di anteprima del link per vedere se un link abbreviato ti sta inviando dove afferma.
Conclusione
Il phishing esisterà sempre, perché ci saranno sempre modi per ingannare le persone. È facile considerare le vittime come stupide, ma spesso le persone che cadono per le prese mancano semplicemente di un'istruzione adeguata sui computer, o si trovano in una situazione che compromette il loro giudizio (non controllare la posta elettronica mentre si è ubriachi o eccessivamente stanchi ).
In questo caso, la conoscenza è potere. Con scetticismo e alcuni strumenti di sicurezza, è possibile evitare le minacce di phishing e arrestare uno dei metodi più comuni di furto di identità. Sei stato vittima del phishing?
Immagine di credito: Pro Team Sport Fishing
Scopri di più su: phishing, truffe.