Truffe online, dal phishing al watering hole: ecco da cosa devi difenderti

di Redazione | 04/03/2016

Truffe online

Phishing classico, spear phishing, vishing, watering hole, social engineering, social media phishing. Sono i diversi tipi di truffe informatiche alle quali siamo quotidianamente esposti quando ci connettiamo alla rete Internet e che possono causare il furto di dati personali o il blocco dei dispositivi come pc e tablet. Ad elencarli è oggi un articolo del Corriere della Sera a firma Vincenzo Scagliarini, che indica anche le principali regole per difendersi dagli attacchi.

 

Apple ha aperto un account su Twitter con trucchi e tutorial

 

TRUFFE ONLINE, PHISHING

La più vecchia, diffusa e nota tecnica di truffa informatica è sicuramente il phishing, un fenomeno nato nel 1996. A decine o centinaia di migliaia di utenti viene inviata una mail con un allegato o un link infetto. Il contenuto del messaggio, con mittente ovviamente sconosciuto al destinatario, è ingannevole. Alcune volte verrà presentata una straordinaria offerta commerciale. Altre volte una fantomatica ragazza chiederà un incontro. La mail, spesso sgrammaticata, racconta di situazioni poco credibili. Nella maggior parte dei casi gli utenti riescono a riconoscere un caso di phishing ma ai truffatori basta ingannare anche solo lo 0,1% dei destinatari per raggiungere il proprio scopo o trarne un sufficiente profitto. Gli indirizzi vengono solitamente acquistati su un mercato nero, ottenuti dopo la violazione di server da parte degli hacker che li rivendono.

TRUFFE ONLINE, SPEAR PHISHING

Lo spear phishing è una variante del phishing. In questo caso la mail con link o allegato infetto è inviata alle aziende con lo scopo di sottrarre informazioni riservate. In questo caso il contenuto del messaggio non è sgrammaticato. Il testo viene elaborato per trarre in inganno uno specifico destinatario. Spiega Scagliarini sul Corriere:

I messaggi sono in italiano corrente e hanno allegati come «piano-assunzioni-2016», creati per attrarre i destinatari. Documenti di questo tipo infettano la rete interna per sottrarre segreti industriali, oppure installano del ransomware: programmi che rendono inaccessibili i file di un pc, per restituirli solo dopo il pagamento di un riscatto.

TRUFFE ONLINE, VISHING

Nel caso del vishing, invece, la mail viene sostituita da una telefonata con messaggio registrato. Viene simulato un call center.

TRUFFE ONLINE, WATERING HOLE

Qualcosa di diverso avviene poi con il watering hole (letteralmente «abbeveratoio»). In questo caso i truffatori non cercano di attaccare direttamente la casella di posta o il sito web della persona o dell’organizzazione che intendono colpire, ma i siti da lui più frequentati. Spiega ancora Scagliarini sul Corriere:

È una tecnica fondata su una metafora predatoria e non prevede un attacco diretto. I criminali infettano i siti più visitati dai dipendenti per arrivare alle risorse interne. Come i cacciatori che, invece addentrarsi nelle foreste, attendono gli animali vicino alle fonti d’acqua.

TRUFFE ONLINE, SOCIAL ENGINEERING

Ovviamente non sono immuni dalle truffe nemmeno i social network, i siti utilizzati per comunicare con amici, familiari e colleghi dalla maggior parte degli utenti. Con il social engineering per trasmettere software infetti o rubare dati i cirminali fingono di essere delle persone conosciute. Con un pretesto si stabilisce un contatto con la vittima per poi ingannarla. Si tratta della nuova frontiera della truffa. La frode diventa personalizzata e il truffatore più credibile, ma soprattutto viene evitato l’acquisto di costosi software.

TRUFFE ONLINE, SOCIAL MEDIA PHISHING

Infine, il social media phishing. In questo caso il truffatore crea profili fake sui social network come Facebook, Twitter e Linkedin per pubblicare dei link o dei file dannosi. Per incuriosire gli utenti vengono sfruttate gli argomenti di discussione del momento, attraverso gli hashtag diventati trend.

(Foto di copertina: Ansa / Polizia di Stato)