“Congratulazioni! Hai appena vinto 30 milioni di euro: segui il link per ottenerli!”, diceva il messaggio ricevuto la scorsa settimana. Onestamente, sembrava troppo bello per essere vero: si trattava infatti di un attacco di phishing.
Tuttavia, la manipolazione delle emozioni umane è ciò che fanno gli attaccanti informatici. I metodi che utilizzano sono presi dalla psicologia pratica e sono legati all’ingegneria sociale. Giocando con i sentimenti umani, le paure e i riflessi, i criminali informatici possono ottenere l’accesso alle informazioni che cercano.
Nella creazione di messaggi di posta elettronica di phishing, gli attaccanti hanno due obiettivi principali: ottenere la password dell’utente o cercare di forzare il download di un certo file. Purtroppo, il livello di consapevolezza degli utenti sulle moderne minacce informatiche è ancora piuttosto basso. In questo post descriveremo le tecniche di base per aiutarti a riconoscere una trappola.
“Aggiornamento necessario: verifica le tue informazioni di pagamento”
Quando lavori sodo, ricevi e rispondi a tonnellate di e-mail ogni giorno. Può essere difficile concentrarsi su ogni messaggio, che tu lavori in ufficio o da casa.
Ricevi un messaggio di posta elettronica che contiene un allegato o un collegamento nel suo corpo. La mancanza di attenzione, specialmente rinforzata dal rispetto per le autorità, può persuaderti ad aprire il documento senza controllarlo due volte.
“Sei stato hackerato: per favore, cambia la tua password”
I nostri profili digitali sono preziosi quanto l’oro per noi. Dati aziendali e personali, accesso a social network e banche online: è tutto online. Chiunque sarebbe spaventato all’idea di avere i propri soldi, dati e reputazione compromessi.
La paura, specialmente amplificata dal senso di urgenza, farebbe sì che gli utenti comuni cambino immediatamente la loro password, facendo clic sul collegamento nell’email. Purtroppo, ciò porterebbe a una pagina web di phishing identica a quella reale.
“Il tuo messaggio non è stato consegnato”
Ricevi un’email che dice che alcuni messaggi non sono stati consegnati a causa di problemi del server. E se ti fossi perso qualcosa di importante?
Molte persone sono curiose per natura e non riescono a resistere alla tentazione di fare clic sul collegamento, anche se non hanno inviato nessun messaggio di recente. Tra l’altro, è uno dei metodi più popolari per condurre un attacco di phishing.
“La tua casella di posta è quasi piena: per favore, aumenta il suo volume”
Oh no! Non è mai il momento giusto per ricevere un messaggio del genere. Specialmente se sei di fretta, stai svolgendo alcune attività urgenti mentre sei al telefono con i colleghi.
Seguendo il collegamento, potresti persino trovare già il tuo nome utente lì, quindi inserisci semplicemente la tua password e… sei stato hackerato!
Raccomandazioni
- Non seguire ciecamente le istruzioni nell’email, specialmente quelle che ti spingono a compiere determinate azioni qui e ora. Controlla attentamente l’indirizzo e-mail del mittente.
- Se ricevi un messaggio che non ha nulla a che fare con te, è meglio cancellarlo.
- I tribunali o altre autorità difficilmente invieranno le loro decisioni e le notifiche di sovraccarico per e-mail. Nella maggior parte dei casi riceveresti una buona vecchia lettera cartacea.
- Non fare clic su collegamenti sospetti nei messaggi, anche se provengono da amici o da indirizzi ufficiali: potrebbero essere compromessi. Prendi il telefono e chiama per verificare!
- Non farti ingannare dal senso di urgenza. Prenditi il tempo per verificare le e-mail che richiedono di compiere determinate azioni.
Scopri di più con il servizio di security awareness su come puoi addestrare i team non IT all’interno della tua organizzazione a riconoscere i tentativi di manipolazione delle emozioni umane insieme alle altre basi della consapevolezza sulla sicurezza informatica.
