Tipi di phishing - Cheat sheet e cose che devi sapere

Congratulazioni(Congratulations) ! Hai vinto n milioni di dollari(Dollars) . Inviaci le tue coordinate bancarie.” Se sei su Internet , potresti aver visto tali e-mail nella tua casella di posta o nella casella di posta indesiderata. Tali e-mail sono chiamate phishing: un crimine informatico in cui i criminali utilizzano la tecnologia informatica per rubare dati alle vittime che possono essere individui o aziende. Questo foglio di phishing(Phishing cheat sheet) è un tentativo di fornirti la massima conoscenza di questo crimine informatico in modo da non diventare una vittima del crimine. Discutiamo anche dei tipi di Phishing(types of Phishing) .

Tipi di Phishing

Che cos'è il phishing?

Il phishing è un crimine informatico in cui i criminali attirano le vittime, con l'intenzione di rubare i dati delle vittime, utilizzando e-mail e messaggi di testo falsi. Principalmente, viene fatto da campagne di posta elettronica di massa. Usano ID(IDs) e-mail temporanei e server temporanei, quindi diventa difficile per le autorità catturarli. Hanno un modello generale che viene inviato a centinaia di migliaia di destinatari in modo che almeno alcuni possano essere ingannati. Scopri come identificare gli attacchi di phishing(how to identify phishing attacks) .

Perché si chiama phishing?

Sai di pesca. Nella pesca reale, il pescatore mette un'esca in modo da poter catturare i pesci quando questi ultimi sono agganciati alla canna da pesca. Anche su Internet usano l'esca sotto forma di un messaggio che può essere convincente e sembra genuino. Poiché i criminali usano un'esca, si parla di phishing. È l'acronimo di password fishing che ora viene chiamata phishing.

L'esca potrebbe essere una promessa di denaro o qualsiasi altra merce che potrebbe costringere qualsiasi utente finale a fare clic sull'esca. A volte, l'esca è diversa (ad esempio, minaccia o urgenza) e richiede azioni come fare clic sui collegamenti dicendo che devi autorizzare nuovamente il tuo account su Amazon , Apple o PayPal .

Come si pronuncia phishing

Si pronuncia come PH-ISHING. 'PH' come nella pesca(F) .

Quanto è diffuso il phishing?

Gli attacchi di phishing sono più comuni dei malware. Questo per dire che sempre più criminali informatici sono coinvolti nel phishing rispetto a coloro che diffondono malware utilizzando e-mail, siti Web falsi o annunci pubblicitari falsi su siti Web autentici.

Al giorno d'oggi, i kit di phishing vengono venduti online, quindi praticamente chiunque abbia una certa conoscenza delle reti può acquistarli e utilizzarli per attività illegali. Questi kit di phishing forniscono di tutto, dalla clonazione di un sito Web alla compilazione di un'e-mail o di un testo convincenti.

Tipi di phishing

Esistono molti tipi di phishing. Alcuni di quelli popolari sono:

  1. Le e-mail regolari generiche(General) che ti chiedono i tuoi dati personali sono la forma di phishing più utilizzata
  2. Spear-phishing
  3. Truffe sulla caccia alle balene
  4. Smishing (phishing tramite SMS) e Vishing
  5. Qtruffe da pesca
  6. Tabnabismo

1] Phishing generale

Nella sua forma più elementare di phishing, incontri e-mail e testi che ti avvertono di qualcosa mentre ti chiedono di fare clic su un collegamento. In alcuni casi, ti chiedono di aprire l'allegato nell'e-mail che ti hanno inviato.

Nella riga dell'oggetto dell'e-mail, i criminali informatici ti inducono ad aprire l'e-mail o il testo. A volte, l'oggetto è che uno dei tuoi account online deve essere aggiornato e sembra urgente.

Nel corpo dell'e-mail o del testo, ci sono alcune informazioni convincenti che sono false ma credibili e poi termina con un invito all'azione: chiedendoti di fare clic sul collegamento che forniscono nell'e-mail o nel testo di phishing. I messaggi di testo(Text) sono più pericolosi perché utilizzano URL(URLs) abbreviati la cui destinazione o il collegamento completo non possono essere controllati senza fare clic su di essi quando li leggi al telefono. Potrebbe esserci qualsiasi app ovunque che possa aiutare a controllare l' URL completo , ma non ce n'è ancora nessuna di cui sono a conoscenza.

2] Spear-phishing

Si riferisce al phishing mirato in cui gli obiettivi sono dipendenti di case d'affari. I criminali informatici ottengono i loro ID(IDs) sul posto di lavoro e inviano false e-mail di phishing a quegli indirizzi. Appare come un'e-mail di qualcuno in cima alla scala aziendale, creando abbastanza fretta per rispondere a loro... aiutando così i criminali informatici a irrompere nella rete della casa d'affari. Leggi tutto sullo spear phishing qui. Il link contiene anche alcuni esempi di spear phishing.

3] Caccia alle balene

La caccia alle balene(Whaling) è simile allo spear phishing. L'unica differenza tra la caccia alle balene(Whaling) e lo spear phishing è che lo spear-phishing può prendere di mira qualsiasi dipendente, mentre la caccia alle balene viene utilizzata per colpire determinati dipendenti privilegiati. Il metodo è lo stesso. I criminali informatici ottengono gli ID(IDs) e-mail ufficiali e i numeri di telefono delle vittime e inviano loro un'e-mail o un SMS convincente che implica un invito all'azione che potrebbe aprire l' intranet aziendale(corporate intranet) per consentire l'accesso back-door. Ulteriori informazioni sugli attacchi di phishing di caccia alle balene(Whaling phishing attacks) .

4] Smishing e Vishing

Quando i criminali informatici utilizzano il servizio di messaggistica breve ( SMS ) per scovare i dettagli personali delle vittime, è noto come SMS phishing o Smishing in breve. Leggi i dettagli di Smishing e Vishing .

5] Truffe di pesca

I codici QR non sono nuovi. Quando le informazioni dovrebbero essere mantenute brevi e segrete, i codici QR sono i migliori da implementare. Potresti aver visto codici QR su diversi gateway di pagamento, annunci bancari o semplicemente su WhatsApp Web . Questi codici contengono informazioni sotto forma di un quadrato con il nero sparso su di esso. Dal momento che non si sa quali informazioni forniscano un codice QR, è sempre meglio stare lontano da fonti sconosciute dei codici. Vale a dire che se ricevi un codice QR in un'e-mail o in un testo da un'entità che non conosci, non scansionarli. Leggi di più sulle truffe QRishing su smartphone.

6] Tabnabismo

Il tabnabbing cambia una pagina legittima che stavi visitando, in una pagina fraudolenta, una volta che visiti un'altra scheda. Diciamo:

  1. Si naviga su un sito Web autentico.
  2. Apri un'altra scheda e navighi nell'altro sito.
  3. Dopo un po', torni alla prima scheda.
  4. Verrai accolto con nuovi dettagli di accesso, magari al tuo account Gmail .
  5. Accedi di nuovo, senza sospettare che la pagina, inclusa la favicon, sia effettivamente cambiata alle tue spalle!

Questo è Tabnabbing , chiamato anche Tabjacking .

Ci sono altri tipi di phishing che non sono molto utilizzati al giorno d'oggi. Non li ho nominati in questo post. I metodi utilizzati per il phishing continuano ad aggiungere nuove tecniche al crimine. Conoscere i diversi tipi di crimini informatici se interessati.

Identificazione di e-mail e testi di phishing

Mentre i criminali informatici prendono tutte le misure per indurti a fare clic sui loro collegamenti illegali in modo che possano rubare i tuoi dati, ci sono alcuni suggerimenti che danno un messaggio che l'e-mail è falsa.

Nella maggior parte dei casi, i tipi di phishing usano un nome a te familiare. Può essere il nome di qualsiasi banca affermata o di qualsiasi altra società aziendale come Amazon , Apple , eBay, ecc. Cerca l'ID e-mail.

I criminali di phishing non utilizzano e-mail permanenti come Hotmail , Outlook e Gmail , ecc. popolari provider di hosting di posta elettronica. Usano server di posta elettronica temporanei, quindi qualsiasi cosa proveniente da una fonte sconosciuta è sospetta. In alcuni casi, i criminali informatici tentano di falsificare gli ID(IDs) e-mail utilizzando un nome commerciale, ad esempio [protetto dalla posta elettronica] L'ID e-mail contiene il nome di Amazon , ma se guardi più da vicino, non proviene dai server di Amazon ma da alcuni messaggi di posta falsi server .com.

Pertanto, se un'e-mail da http://axisbank.com proviene da un ID e-mail che dice [email protected] , è necessario prestare attenzione. Inoltre, cerca gli errori di ortografia. Nell'esempio di Axis Bank , se l'ID e-mail proviene da axsbank.com, si tratta di un'e-mail di phishing.

PhishTank ti aiuterà a verificare o segnalare siti Web di phishing

Precauzioni per il phishing

La sezione precedente ha parlato dell'identificazione di e-mail e testi di phishing. Alla base di tutti gli accorgimenti c'è la necessità di controllare la provenienza della posta elettronica invece di cliccare semplicemente sui link presenti nella mail. Non fornire a nessuno le tue password e le tue domande di sicurezza. Guarda l'ID e-mail da cui è stata inviata l'e-mail.

Se è un messaggio di un amico, sai, potresti voler confermare se lui o lei lo ha inviato davvero. Potresti chiamarlo e chiedergli se ha inviato un messaggio con un link.

Non fare mai clic sui collegamenti nelle e-mail da fonti che non conosci. Anche per le e-mail che sembrano autentiche, supponiamo da Amazon , non fare clic sul link(do not click on the lin) . Invece, apri un browser e digita l' URL di Amazon . Da lì, puoi verificare se hai effettivamente bisogno di inviare dettagli all'entità.

Alcuni link arrivano dicendo che devi verificare la tua registrazione. Controlla se ti sei registrato per qualche servizio di recente. Se non ricordi, dimentica il link e-mail.

Cosa succede se faccio clic su un collegamento di phishing?

Chiudere immediatamente il browser. Non toccare né inserire alcuna informazione nel caso in cui non si riesca a chiudere il browser, come nel browser predefinito di alcuni smartphone. Chiudi manualmente ogni scheda di tali browser. Ricorda(Remember) di non accedere a nessuna delle tue app finché non esegui una scansione utilizzando BitDefender o Malwarebytes . Ci sono anche alcune app a pagamento che puoi utilizzare.

Lo stesso vale per i computer. Se si fa clic su un collegamento, il browser viene avviato e viene visualizzata una sorta di sito Web duplicato. Non toccare o toccare in nessun punto del browser. Basta(Just) fare clic sul pulsante Chiudi browser o utilizzare il Task Manager di Windows(Windows Task Manager) per chiudere lo stesso. Eseguire una scansione antimalware prima di utilizzare altre applicazioni sul computer.

Leggi(Read) : Dove segnalare siti Web di truffe, spam e phishing online ?

Per favore commenta e facci sapere se ho omesso qualcosa in questo cheat sheet di phishing.(Please comment and let us know if I left out anything in this phishing cheat sheet.)



Martina Caputo

About the author

Dopo quasi 20 anni nel settore della tecnologia, ho imparato molto sui prodotti Apple e su come personalizzarli per le mie esigenze. In particolare, so utilizzare la piattaforma iOS per creare aspetti personalizzati e interagire con i miei utenti tramite le preferenze dell'applicazione. Questa esperienza mi ha fornito preziose informazioni su come Apple progetta i suoi prodotti e su come migliorare al meglio la loro esperienza utente.


Related posts