Il gruppo di lavoro antiphishing (APWG) ha pubblicato il suo ultimo rapporto sulle tendenze dell’attività di phishing, che mostra come il numero di siti Web fraudolenti progettati per rubare dati sensibili sia diminuito nel 2018.
Il calo – da circa 263000 siti segnalati dallo stesso team nel primo trimestre dello scorso anno a circa 138000 nell’ultimo trimestre – potrebbe essere dovuto all’impegno globale contro il phishing e / o “il risultato del passaggio dei criminali a più specializzati e lucrose forme di e-crime rispetto al phishing di massa “, come si legge nel rapporto.
L’APWG però ipotizza che tale diminuzione potrebbe essere causata dall’uso da parte di criminali di nuove tecniche per proteggere gli URL di phishing dalla rilevazione, ciò potrebbe implicare l’utilizzo di diversi reindirizzamenti URL sfruttati per ingannare con più facilità le vittime e condurle con successo sulle pagine truffa.
Se da un lato quest’ultimo anno ha visto la diminuzione dei siti di phishing dall’altro purtroppo però aumenta il numero di quelli con certificati SSL legittimi che abilitano le connessioni HTTPS – per la prima volta in assoluto. Tale condizione mette ancora più in difficoltà gli utenti che rassicurati dal lucchetto verde nella barra degli indirizzi continuano con fiducia la navigazione sulle pagine fraudolente. Inoltre, l’APWG ha dichiarato che il numero di campagne di posta elettronica “convenzionali” che mirano ad attirare persone verso siti fittizi è sceso verso la fine dell’anno, passando da 264000 a poco meno di 240000.
Contestualmente, il gruppo di ricerca ha anche scoperto che gli attacchi di phishing si rivolgono sempre più agli utenti di sistemi SaaS (software-as-a-service) e servizi webmail. Gli attacchi contro questi obiettivi sono aumentati da poco più del 20 percento di tutti questi incidenti nel terzo trimestre a quasi il 30 percento tra ottobre e dicembre.
Al contrario, e seguendo la tendenza dei mesi precedenti, gli attacchi verso gli utenti di Cloud storage e siti di hosting di file sono diminuiti drasticamente – da oltre l’11% di tutti gli attacchi nel primo trimestre del 2018 al solo 4% nell’ultimo trimestre.
Ciononostante, i siti dedicati ai pagamenti online continuano a essere i preferiti per gli inganni dei criminali che utilizzano i loro nomi in oltre un terzo degli attacchi.
Un altro risultato interessante dello studio è rappresentato dal numero di indirizzi URL phishing che sfruttano un dominio di primo livello (TLD), come .com, .net e .org che nell’ultimo anno è arrivato a 6700. Dato che conferma l’impegno nel migliorare la qualità delle truffe, considerando che solitamente l’uso di questo tipo di dominio alza di molto il grado di affidabilità di un sito percepito dagli utenti.
Tuttavia, tra i 10 TLD più diffusi utilizzati negli attacchi di phishing ne figurano diversi che sono molto meno familiari per gli utenti medi di Internet: come per esempio quelli legati a paesi come Palau (.pw), Repubblica Centrafricana (.cf), Mali (. ml) e Gabon (.ga), che vengono preferiti dai criminali grazie soprattutto alla loro facilità di registrazione e alla loro gratuità.
Alla luce di quanto emerso da questa ricerca e al sempre maggior impegno profuso dai truffatori per ingannare gli utenti, gli esperti di ESET Italia propongono 5 semplici consigli da seguire per evitare di cadere nella trappola del phishing:
1. Massima prudenza durante la navigazione online
Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati e-mail, anche se sembrano provenire da una fonte nota e attendibile.
2. Attenzione ai link abbreviati
E’ importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Gli esperti di ESET consigliano di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito che di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3. Dubbi su un messaggio di posta? Leggerlo di nuovo!
Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente ‘, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste email, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.
4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Ad esempio, nel 2014 eBay ha chiesto ai propri clienti di modificare le password rapidamente dopo aver subito una violazione dei dati. Questa però è una eccezione alla regola; di solito, le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing.
Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto. Bisogna ignorare queste tattiche intimidatorie e contattare il mittente privatamente attraverso altri canali.
5. Navigare sicuri sul protocollo HTTPS
Si dovrebbe sempre, ove possibile, usare un sito web sicuro per navigare (indicato da https://blog.futuretime.eu // contraddistinto dall’icona a “lucchetto” nella barra degli indirizzi del browser), soprattutto quando si trasmettono delle informazioni sensibili online come ad esempio i dati della carta di credito.
Non si dovrebbe mai usare una rete WiFi pubblica per accedere al proprio conto bancario, per acquistare o immettere informazioni personali online. In caso di dubbio, utilizzare la connessione 3/4G o LTE del vostro dispositivo. In futuro sarà sempre più facile individuare i siti non sicuri, infatti la stessa Google ha iniziato a segnalare ai suoi utenti i siti che non offrono una protezione adeguata.
2 Comments