proteggiti dal phishing

Nuovo fenomeno di phishing: “transazione effettuata sul conto PayPal”

E’ in corso un nuovo fenomeno di phishing, “transazione effettuata sul conto PayPal“, e noi, puntualmente, vogliamo informare i nostri followers ed affezionati Lettori.

 

La modalità è questa:
l’utente riceve un’email  con l’avviso di una transazione effettuata sul conto PayPal e l’indicazione di un codice alfanumerico.
Spesso, aprendo le mail con la “guardia bassa”, siamo tentati di dare un riscontro, anche perché non ricordiamo di aver effettuato alcuna transazione recentemente, ma il mittente ci rende tranquilli, e non sospetteremmo mai che proprio PayPal sia un hacker…
Ovviamente PayPal non ci ha mai contattato, e qualcuno lo sta facendo in maniera fraudolenta, allo scopo di trasferire i nostri fondi presso il loro conto corrente!
Infatti, cliccando su detto codice si viene indirizzati su una pagina dove viene richiesto l’inserimento di dati personali e bancari.
Consiglio:
Come ci viene raccomandato dalla Polizia Postale, non seguire link e non fornire alcun dato personale.

 

Altra truffa telematica diffusa nei mesi scorsi: sms dalla Banca
Di frequente il cybercrime usa l’affidabilità di enti, istituti, aziende per trarre in inganno gli utenti. Oltre a questo nuovo fenomeno di phishing “transazione effettuata sul conto PayPal” i criminali informatici hanno ideato una truffa, che dimostra la grave determinazione di spogliarci dei nostri beni.
Ma andiamo con ordine.
L’utente riceve un sms o una mail apparentemente inviati dal proprio istituto di credito con le quali gli si chiede di aggiornare le proprie credenziali di accesso ai servizi di home banking, o di confermare la propria identità accedendo al conto. Ovviamente, nel ricevere un tale messaggio, se fossimo clienti proprio di quella banca, non penseremmo mai che tale comunicazione sia stata inviata da anonimi delinquenti…
L’utente clicca sul link che di fatto lo collega ad un sito clone, molto simile a quello ufficiale. La caratteristica del “sito-copia”, ricalcato sull’originale, viene utilizzato in moltissime truffe online.
Grazie alle credenziali ottenute con tale inganno, i malviventi sono in grado di conoscere la modalità scelta dal cliente per ricevere la password necessaria per accedere ai servizi on line (c.d. “one time password”).
Nel caso in cui la modalità prescelta sia un sms sulla propria utenza cellulare, i malviventi provvedono ad attivare con documenti falsi una sim-card con lo stesso numero telefonico del cliente che intendono frodare. In tal modo saranno loro a ricevere la “one–time–password” al posto del titolare e potranno disporre dei trasferimenti di denaro a loro piacimento.

 

Consiglio:
Non cliccare su link o allegati pdf contenuti in sms o mail che arrivano sul vostro cellulare o sul vostro computer e che apparentemente sembrano provenire dalla vostra banca.

 

COS’E’ IL PHISHING
Il phishing è una particolare tipologia di truffa, realizzata attraverso il web, con l’inganno degli utenti.
Si concretizza essenzialmente nell’invio di messaggi di posta elettronica ingannevoli, volti ad acquisire dati personali.
Ad esempio:
  • email solo apparentemente provenienti da banche, istituti finanziari, società emittenti di carte di credito
  • email apparentemente provenienti da da siti web che richiedono l’accesso previa registrazione (web-mail, Provider internet o telefonici, strutture dello Stato, e-commerce ecc.).
Di solito, il  messaggio invita a fornire i propri riservati dati di accesso al servizio adducendo problemi di registrazione o di altra natura. Nel messaggio, per rassicurare falsamente l’utente, può essere indicato un collegamento che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. Infatti, il link rimanda ad un sito costruito a bella posta in modo pressoché identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno acquisiti immediatamente dai cyber-criminali.
Messaggi con la stessa finalità di carpire dati di accesso a servizi finanziari online possono apparentemente provenire da Strutture dello Stato (Polizia, Tribunale, Enti, ecc…)
Il phishing si attua in modo ancor più subdolo mediante i virus informatici, con diverse modalità di infezione.

La più diffusa è il classico allegato al messaggio di posta elettronica:

  • può trattarsi di un file con estensione .exe, che al click attiva l’installazione del virus
  • oppure di allegati in formato .doc .pdf . ecc. che contengono false fatture, contravvenzioni, avvisi di consegna pacchi e celano un virus pronto ad attivarsi appena l’allegato viene aperto o scaricato.
Il peggio è che i virus, per poter agire, sono ideati in modo da insediarsi nel dispositivo in uso senza essere facilmente individuabili, restando latenti ed attivandosi solo al momento di acquisire i dati sensibili, che sono il loro obiettivo.
Come ci viene chiaramente spiegato dalla Polizia Postale, nel caso si tratti di un  c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari, restando, nel frattempo, nascosto anche alle scansioni periodiche.
Altri tipi di virus si attivano quando sulla tastiera vengono inseriti i dati di log in (userid e password). In questo caso, i criminali entrano in possesso delle chiavi di accesso agli account di posta elettronica o di e-commerce, potendo quindi leggerle ed utilizzarle se tramite email si comunicano dati sensibili.

 

PRECAUZIONI PER EVITARE IL PHISHING
  1. Per proteggersi dal phishing, prima di tutto va prestata la massima attenzione a non rivelare mai via email dati confidenziali come password e dati di accesso a conti correnti. D’altra parte, nessuna Azienda seria, né la nostra Banca, né le Autorità richiederebbero mai di comunicare tramite email dati confidenziali. Inoltre, le comunicazioni ufficiali dell’Autorità (le uniche della stessa degne, in questo frangente, di una qualche attenzione) vengono recapitate tramite raccomandata, o tramite PEC (se noi abbiamo a nostra volta un indirizzo PEC) e mai tramite una semplice email. In ogni caso, appare evidente che l’Autorità, proprio a causa delle informazioni in suo possesso, non chiederebbe mai ad un Utente di mettere in pericolo la propria incolumità personale ed economica!
  2. Il secondo accorgimento da prendere è quello di verificare sempre l’indirizzo email del mittente e la sua corrispondenza con il nome a dominio, prima di compiere le azioni richieste dal mittente e comunque, di non cliccare mai su link sconosciuti indicati nelle email.
  3. Prestare inoltre la massima attenzione a quelle email che risultano provenire dal nostro stesso indirizzo email. Se non l’abbiamo spedita noi, certamente lo ha fatto qualcun altro per motivi chiaramente illegittimi… In questo caso particolare, cambiare immediatamente la password di accesso alla casella email, ed informare il provider di posta utilizzato!
  4. Ultimo ma non meno importante accorgimento è quello di utilizzare un sistema di sicurezza all’avanguardia; per una protezione completa dal phishing esiste ad esempio McAfee SaaS Email Protection & Continuity che garantisce la sicurezza della posta elettronica e proteggere i dispositivi dal phishing, individuando minacce e link pericolosi e bloccandoli prima ancora che l’utente vi possa inavvertitamente cliccare. Tutti i dispositivi in rete, anche gli smartphone, da cui navighiamo, consultiamo la posta ecc., e non solo i desktop sono a rischio di phishing, per cui si consiglia su tutti i dispositivi una protezione antivirus aggiornata e completa, che per comodità e risparmio può anche essere gestita da un unico account.
Scrivici la tua esperienza e provvederemo ad pubblicarla in modo anonimo, se hai subito un tentativo di phishing come “transazione effettuata sul conto PayPal” o altri.

 

Se ti è piaciuto questo articolo, condividilo sui Social dai bottoni in cima alla pagina!