• Cosa potrebbe essere un messaggio di phishing? 10 bandiere rosse da non ignorare

Cosa potrebbe essere un messaggio di phishing? 10 bandiere rosse da non ignorare

Blog

I messaggi di phishing sono più intelligenti che mai: non cadeteci. Imparate a riconoscere i 10 principali segnali di pericolo con esempi reali e consigli degli esperti per rimanere protetti.

di Milena Baghdasaryan

Tempo di lettura: 7 min
Cosa potrebbe essere un messaggio di phishing? 10 bandiere rosse da non ignorare
Indice dei contenuti-

Pensate di saper riconoscere una truffa? I messaggi di phishing diventano ogni giorno più subdoli. 

Durante il phishing, gli aggressori inviano e-mail truffaldine contenenti link a siti web dannosi. I siti web possono contenere malware (ad esempio, ransomware) per sabotare sistemi e organizzazioni. In alternativa, possono avere l'obiettivo di indurre gli utenti a rivelare informazioni sensibili (ad esempio, numeri di carte di credito). I truffatori spesso si spacciano per marchi ed entità di cui ci si fida già, come Amazon, Netflix o le banche. Questi attacchi possono causare ingenti perdite finanziarie e furti di identità. 

Prima di cliccare su qualsiasi link, controllate queste 10 bandiere rosse che potrebbero evitarvi di diventare vittime.

I punti chiave da prendere in considerazione

  • I tipi più comuni di messaggi di phishing sono il phishing via e-mail, lo smishing (SMS), il social phishing e il vishing. 
  • Alcune bandiere rosse possono segnalare una truffa di phishing. Tra questi, saluti generici, richieste di informazioni sensibili, offerte troppo generose e allettanti, link sospetti per l'annullamento dell'iscrizione, ecc.
  • L'impersonificazione di marchi ben noti è un altro elemento chiave delle truffe di phishing e un utile segnale di allarme. 
  • Alcuni esempi reali di truffe di phishing sono le false richieste di DocuSign, le truffe per la conferma degli ordini di Amazon e le frodi per i rimborsi fiscali dell'IRS. 
  • Strumenti avanzati di protezione dalle minacce, autenticazione delle e-mail e MFA possono aiutare le aziende a rimanere protette.

Tipi comuni di messaggi di phishing 

Esistono vari tipi di messaggi di phishing, alcuni più comuni di altri. 

Phishing via e-mail

È il tipo di phishing più diffuso. Nel phishing via e-mail, i criminali informatici inviano e-mail da entità apparentemente legittime, come servizi online, banche, marchi rinomati, ecc. Queste e-mail possono contenere fatture false e richieste di reimpostazione della password, spesso accompagnate da un senso di urgenza. Inducono la vittima a cliccare su un link dannoso o a scaricare un allegato che, a sua volta, può portare a conseguenze devastanti. 

Smishing (SMS)

Il nome suggerisce il significato: un mix di "SMS" e "phishing". Durante questi attacchi, gli attori delle minacce inviano messaggi di testo ingannevoli che manipolano il destinatario per indurlo a compiere un'azione autolesionista. Ciò potrebbe includere l'inserimento di dati sensibili, il clic su link dannosi o l'installazione di software dannoso. Un esempio potrebbe essere un SMS del tipo "Il tuo pacco è in ritardo - clicca qui!". SMS, in cui il destinatario viene invitato a fare clic su un link potenzialmente dannoso. 

Phishing sociale

Il social media phishing è un attacco condotto attraverso piattaforme di social media come Facebook, Instagram, LinkedIn, X o altri. Il messaggio può apparire molto amichevole, sotto forma di omaggi gratuiti. In alternativa, potrebbe incutere timore, come ad esempio "Il tuo account è stato bloccato". In tutti i casi, spesso è difficile distinguere tra questi messaggi falsi e quelli veri. 

Vishing (chiamate vocali)

Il vishing (ovvero il phishing vocale) si riferisce all'attacco di phishing in cui i criminali informatici sfruttano le telefonate per manipolare la vittima e indurla a fornire importanti informazioni personali o aziendali. Un esempio comune di vishing è il "Il tuo SSN è sospeso", che provoca immediatamente paura e spinge la vittima ad agire il prima possibile. 

10 bandiere rosse: Cosa potrebbe essere un messaggio di phishing? 

Ci sono bandiere rosse a cui bisogna sempre prestare attenzione se si vuole proteggersi dagli attacchi di phishing. 

1. Minacce urgenti 

Esempi di minacce urgenti sono: "Il vostro conto verrà chiuso entro 24 ore!". "Il vostro conto è stato violato". "Paga ora per mantenere il tuo conto Business". Il senso di urgenza è uno degli elementi più comuni nei tentativi di phishing. Ma per quanto la situazione sembri urgente, fate sempre un passo indietro, riflettete e verificate se è davvero così urgente come sembra a prima vista. 

2. Saluti generici ("Gentile cliente" invece del vostro nome)

Gli hacker spesso prendono di mira più destinatari contemporaneamente. Di conseguenza, il messaggio può spesso apparire generico e privo di elementi personalizzati. Ad esempio, al posto del vostro nome, potreste vedere un "Gentile cliente" o un "Signor", senza alcun identificativo. È sempre consigliabile usare cautela nei confronti di messaggi generici di questo tipo.

3. Indirizzi del mittente non corrispondenti 

Prestate attenzione all'indirizzo del mittente e verificate se corrisponde a quello legittimo. Ad esempio, guardate questo: "[email protected]." Se non siete abbastanza attenti, potreste notare che la lettera "o" è stata sostituita dal numero "0". Questi trucchi sono piuttosto comuni tra gli hacker. Per individuarli, è sufficiente essere più attenti e scrupolosi e ricontrollare tutto prima di agire.

È possibile verificare se un link è legittimo passando il mouse sull'URL. Anche se questo non vi fornirà un quadro completo, avrete almeno un'idea di base del modello. Per ottenere risultati più precisi, potete anche utilizzare un verificatore di URL online. 

5. Richieste di dati sensibili (password, SSN, carte di credito)

Dareste vostro figlio a un estraneo solo perché ve lo chiede? Molto probabilmente no. Allora perché affidiamo così facilmente a sconosciuti le nostre password, il nostro SSN, le nostre carte di credito e altre informazioni sensibili? Ogni volta che vi chiedono informazioni sensibili, fate molta attenzione, altrimenti le conseguenze potrebbero essere dannose per la vostra attività. 

6. Grammatica/ortografia scadente

Avete notato diversi errori stilistici, grammaticali o ortografici in un singolo paragrafo? Oppure il messaggio non suona bene nella vostra lingua madre? Questo è un buon segno per ricontrollare la fonte prima di cliccare sui link. 

7. Allegati insoliti

Cercate sempre gli allegati insoliti, come i file.exe o .zip. Se li individuate, sappiate che il messaggio potrebbe essere una truffa di phishing. 

8. Offerte troppo belle per essere vere 

Molti di noi hanno visto il messaggio "Hai vinto un iPhone gratis!". Un messaggio del genere invoglia a cliccarci sopra. È stato il caso di mia sorella minore, che era così convinta di aver vinto un iPhone che io e mia madre abbiamo impiegato diverse ore per convincerla del contrario. Ma davvero, perché qualcuno dovrebbe darvi un regalo costoso, come un iPhone, senza motivo? A meno che non crediate alla storia del "Babbo Natale vi ricompenserà se vi comporterete bene durante l'anno", dovreste capire che le offerte "troppo belle per essere vere" spesso non sono vere. 

9. Impersonificazione di marchi di fiducia 

Avete ricevuto un messaggio da Microsoft, PayPal, Amazon o dalla vostra banca di fiducia? Vi chiede di inserire informazioni sensibili o di cliccare su un link? Verificate due volte se si tratta effettivamente di un'entità fidata o di un imitatore di minacce. 

10. Minacce di cancellazione 

I link di disiscrizione sono un terreno fertile e facile da sfruttare per gli hacker. Le persone di solito si fidano dei link di disiscrizione e gli attori delle minacce lo sanno bene. Possono includere link e file dannosi in questo campo. Un altro esempio è un messaggio del tipo "Clicca qui o ti addebiteranno 50 dollari al mese", in cui si chiede all'utente di agire per evitare di pagare. In realtà, cliccando sul link si finisce per pagare di più. 

Esempi di messaggi di phishing reali 

Ecco alcuni esempi reali di e-mail di phishing.

Richiesta di DocuSign falsa

Comprendendo la prevalenza dei problemi di sicurezza, DocuSign ha pubblicato un articolo con informazioni utili su come individuare le richieste false inviate a loro nome. Si consiglia di cercare sempre il codice di sicurezza univoco in fondo all'e-mail di notifica della busta DocuSign.

Esempio di richiesta DocuSign falsa 

Truffa della "conferma d'ordine" di Amazon

Nell'esempio di email che segue, ci sono molti errori che si possono individuare leggendo attentamente l'email. Per esempio, la linea "Chiama il nostro numero verde" si interrompe bruscamentesia in termini di logica che di punteggiatura. Poi la riga successiva invita a chiamare un numero. Inoltre, l'indirizzo del pacco non riporta il nome della via ed è formattato in modo strano. L'e-mail contiene anche errori di battitura che l'azienda Amazon non permetterebbe. In breve, ci sono troppi segnali di allarme in questa singola e-mail.

Esempio di truffa della conferma d'ordine Amazon 

Frode al rimborso fiscale dell'IRS

L'e-mail di seguito riportata mira a convincervi a fare clic sul link "Controlla il tuo rimborso" per controllare la dichiarazione elettronica del vostro rimborso fiscale. Sebbene l'e-mail sembri legittima a prima vista, il vero IRS non vi contatterebbe mai per e-mail, messaggi di testo o social media per chiedere dettagli sensibili. Solo gli hacker potrebbero farlo per conto dell'IRS.

Esempio di frode al rimborso fiscale dell'IRS 

Come proteggersi 

Sono molte le misure che potete adottare per proteggervi dagli attacchi di phishing. 

Suggerimenti generali

Ecco alcuni consigli generali che tutti possono seguire:

Invece di cliccare su un link, visitate direttamente il sito web corrispondente. In questo modo vi assicurerete di accedere alla fonte legittima di informazioni anziché a quella falsa e dannosa. 

Utilizzare l'autenticazione a più fattori 

L'autenticazione a più fattori e la 2FA comprendono un processo di accesso in più fasi. Con l'MFA, per accedere al proprio account è necessario inserire altre informazioni (ad esempio, un codice di accesso) oltre alla password. Questo aggiunge un ulteriore livello di sicurezza, rendendo più difficile l'accesso al vostro account da parte degli hacker. 

Mantenere aggiornati i software e i browser.

Software e browser obsoleti creano una stanza aperta per gli hacker che possono sfruttare e accedere a dati sensibili. Mantenere i sistemi aggiornati può garantire la massima sicurezza e allontanare gli hacker. 

Suggerimenti per le aziende 

Ecco alcuni consigli utili per le aziende: 

Simulazioni periodiche di phishing e formazione di sensibilizzazione

Prevenire è meglio che curare. La preparazione è una forma di prevenzione. Preparate voi stessi e i vostri collaboratori ad affrontare queste situazioni. Che si tratti di formazione o di simulazioni periodiche di phishing, la preparazione del vostro team può aiutarvi a evitare efficacemente gli attacchi di phishing. 

Strumenti avanzati di protezione dalle minacce 

Piattaforme online come PowerDMARC offrono una serie di strumenti avanzati di protezione dalle minacce per aiutarvi a rimanere protetti online. Dati l'integrazione di PowerDMARC con SecLyticsè possibile beneficiare di:

  • Informazioni predittive complete sulle minacce 
  • Misurare il punteggio di sicurezza del rischio degli indirizzi IP
  • Ottenere informazioni sulle minacce informatiche attuali e potenziali
  • Tracciare i modelli di attacco 

Autenticazione delle e-mail (SPF, DKIM, DMARC)

SPF, DKIM, DMARC e altri protocolli di autenticazione delle e-mail forniscono informazioni verificabili sulle origini di un messaggio e-mail. Aiutano i provider a verificare se una determinata fonte è legittima e affidabile. Di conseguenza, sono una componente fondamentale e indispensabile della sicurezza delle e-mail e dovrebbero essere sfruttati al massimo. Se non avete ancora impostato l'autenticazione delle e-mail, potete utilizzare gli strumenti riportati di seguito:

Se sono già presenti, ma si desidera verificare che siano impostati correttamente, PowerDMARC ha anche dei checker corrispondenti per ciascuno di essi. Si trovano nella sezione Strumenti nella sezione Strumenti.

Cosa fare se si è cliccato su un messaggio di phishing

Ecco alcune misure che potete adottare se avete già cliccato su un messaggio di phishing:

  1. Disconnettersi da Internet.
  2. Cambiare immediatamente le password.
  3. Eseguire una scansione alla ricerca di malware.
  4. Rapporto a Gruppo di lavoro Anti-Phishing.

Conclusione

I messaggi di phishing si basano sulla fiducia e sull'urgenza. Molte bandiere rosse possono aiutarvi a capire se un'e-mail è legittima o se si tratta di una truffa di phishing. Tra questi, minacce urgenti, indirizzi del mittente non corrispondenti, link sospetti, allegati insoliti, ecc. In caso di dubbio, non cliccate. 

Proteggete il vostro dominio dal phishing oggi stesso con PowerDMARC. Iniziate con un'analisi DMARC gratuita e scoprite quanto sia facile proteggere le vostre e-mail, senza bisogno di competenze tecniche!

CTA

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)
Requisiti del mittente Microsoft applicati - Come evitare il rifiuto di 550 5.7.15...Tutte le mie e-mail finiscono nello spam: ecco cosa potete fare per evitarlo