È da molto tempo che Internet non è più sicuro come un tempo. La pandemia ha comportato rischi maggiori per la vita digitale quotidiana e oggi è difficile dire quali rischi possano nascondersi dietro un messaggio su WhatsApp o in un annuncio Google. Tuttavia, una delle forme di attacco informatico più comuni e devastanti è il phishing, ed è molto più devastante sui telefoni cellulari.
Il phishing è un tipo di crimine informatico che mira a catturare in qualche modo le credenziali e le informazioni della vittima, solitamente attraverso un messaggio apparentemente legittimo. Metà ingegneria sociale, metà tecnologia, tutto ciò di cui i criminali hanno bisogno è convincere la vittima ad abboccare: cliccare sul collegamento, aprire un file, installare un programma, inserire una password su un sito web falso. Senza saperlo, queste informazioni finiranno nelle mani del truffatore. E il danno è fatto.
Lo ha rivelato un sondaggio Trend Micro condotto all’inizio di quest’anno truffe via e-mail continuano a essere il crimine informatico più popolare, con un aumento annuo del 19% delle e-mail di phishing e 5,5 milioni di tentativi di furto di credenziali. Ma non sono solo i dati e le password ad essere presi di mira da questo crimine informatico. Questa pesca può prendere di mira pesci di grandi dimensioni, come le cifre della password della tua banca o anche la tua portafoglio di criptovaluta.
La pesca non è tutta uguale
Secondo il guida alla sicurezza informatica dalla Electronic Frontier Foundation, esistono due forme principali di attacchi di phishing e possono verificarsi sia su telefoni cellulari che su desktop. Per comprendere le differenze tra loro, è importante vedere il loro rapporto con la pesca, da cui deriva il nome della truffa.
Ad oggi, il modo più comune di attacco è attraverso il “phishing delle credenziali”, che si traduce in qualcosa come “pesca delle credenziali”. Secondo il ComputerWorld, il primo caso di truffa di phishing si è verificato nel 1996, con gli hacker che hanno rubato account e password di America Online. Lanciando un mucchio di e-mail in Internet, i criminali sapevano che non avrebbero catturato tutti i pesci incauti. Ma sapevano anche che alcuni sarebbero caduti nella rete.
Parte del successo del phishing delle credenziali deriva dalla scalabilità della truffa. Una volta che il criminale ha impostato l'"esca", ovvero una pagina falsa o un'e-mail standard che porta a malware, tutto ciò che deve fare è inviare questa truffa di massa a un elenco. E considerando la frequenza con cui sono trapelati i dati dei brasiliani, non sorprende che gli hacker abbiano compilato elenchi basati su queste informazioni.
Tuttavia, un’altra possibilità di truffa è lo spearphishing, che è qualcosa di più simile alla pesca con l’arpione. Invece di prendere di mira più vittime, l’attacco mira esclusivamente a una sola persona. Le esche sono progettate specificatamente in base alla vita quotidiana o al momento della vita del bersaglio. In genere, si concentrano maggiormente su figure visibili su Internet, come presunte foto inviate da un parente o una promozione per un prodotto che la persona ha recentemente pubblicato sul proprio social network.
Perché il phishing è più pericoloso sui cellulari
Secondo uno studio dell'Università di StanfordIl Brasile è il quinto Paese nella classifica delle vittime di questa categoria di criminalità informatica. Anche se la stessa ricerca ha dimostrato che gli utenti di telefoni cellulari sono meno vittime degli attacchi di phishing, ciò non è collegato alla mancanza di rischi sui telefoni cellulari. La truffa, infatti, può provenire da diversi vettori esclusivi dello smartphone: messaggi sospetti su WhatsApp, SMS, contatti LinkedIn o pagine Facebook false.
L'esperto di sicurezza informatica Matt Boddy afferma che l'abbattimento delle barriere tra vita personale e professionale ha aumentato gli attacchi di phishing contro gli smartphone. E quel che è peggio, i dispositivi lo sono meno attrezzati per proteggersi da esso. I browser mobili non visualizzano le anteprime delle pagine da aprire, quindi i collegamenti con malware possono essere aperti sul cellulare, dove si concentrano le stesse informazioni vitali presenti sul computer.
Una guida di base per proteggersi dagli attacchi di phishing
Alcuni passaggi sono importanti per proteggere il tuo cellulare dagli attacchi di phishing. Anche con un antivirus sul tuo dispositivo (che non è mai una cattiva idea), la truffa può aggirare le misure di sicurezza automatiche, poiché parte di essa dipende dall’interazione umana.
La prima precauzione è: prestare attenzione alle email con le istruzioni passo passo. Se un criminale passa attraverso il supporto di Apple cercando di informarti di un aggiornamento tramite un collegamento o una modifica della password che arriva direttamente via email, non aprire o rispondere immediatamente. Cercate maggiori informazioni istituzionali contattando il sito. Visualizza i messaggi che hai ricevuto nella chat di supporto e verificane la provenienza. In caso di phishing spacciandosi per banche, prova a chiamare la filiale del tuo conto. Se si tratta di qualcuno che potenzialmente si spaccia per qualcuno che conosci, prova a chiamarlo.
Se ricevi file sospetti come PDF, documenti di testo, fogli di calcolo o foto via e-mail, non aprirli immediatamente. Caricalo invece su Google Drive e visualizzalo lì. La visualizzazione nel cloud impedirà l'esecuzione automatica di script dannosi.
Per evitare di inserire password su pagine sospette, utilizza un'app di gestione delle chiavi con riempimento automatico. Questi programmi controllano l'integrità delle pagine di login a cui stai accedendo e, se si rifiuta di inserire la password, c'è un'alta probabilità che si tratti di una pagina falsa.
Infine, mantieni sempre aggiornato il sistema operativo del tuo cellulare. Alcuni malware che fanno parte degli attacchi di phishing prendono di mira specificamente le vulnerabilità di Android o iOS, quindi gli aggiornamenti aiutano a mitigare in qualche modo questi rischi.
Immagine: Xijian/iStock