Come proteggersi dai siti Web di phishing

Come evitare i siti Web di phishing

Da marzo 2016 a marzo 2017, Google e l’Università della California a Berkeley hanno studiato i modi per imbrogliare su Internet. Si è scoperto che nel corso di quell’anno 12,4 milioni di utenti sono stati vittime di attacchi di phishing. Secondo il rapporto sulle tendenze delle attività di phishing di APWG per il terzo trimestre del 2019, il numero di attacchi di phishing è salito ancora una volta a un livello che non si osservava dal 2016. Nel quarto trimestre del 2016, APWG ha registrato 277.693 attacchi. Nel terzo trimestre del 2019, il numero era vicino a quello di 266.387.

Il phishing è un insieme di metodi che consentono agli hacker di ingannare un utente e costringerlo a rivelare la propria password, numero di carta di credito e altre informazioni riservate. Molto spesso, gli aggressori impersonano rappresentanti di organizzazioni ben note in e-mail, telefonate, messaggi, ecc. Abbiamo già parlato di e-mail di phishing, oggi tratteremo i siti Web di phishing, come identificarli e proteggersi.

Che cos’è un sito web di phishing

Il phishing è uno strumento abbastanza comune per rubare account utente da diversi servizi. Questi siti vengono utilizzati per accedere a e-mail e account personali, informazioni sulla carta di credito e altri dati che possono essere utilizzati a scopo di lucro da criminali informatici di phishing.

Visivamente, una pagina di phishing è progettata per copiare l’interfaccia di un servizio reale. Se, ad esempio, l’obiettivo dell’hacker è rubare un account Google, durante l’autorizzazione una potenziale vittima vedrà campi familiari per l’inserimento di nome utente e password e il logo di Google.

Il phishing ha lo scopo di rubare i dati personali degli utenti con il pretesto del pagamento o l’accesso come cliente. I truffatori possono creare falsi siti web di:

  • compagnie aeree;
  • Organizzazioni bancarie e altre organizzazioni finanziarie;
  • Sistemi di pagamento;
  • Pagine di autorizzazione e pagamento dei negozi online.

Come rilevare un sito Web di phishing

Rilevare un sito di phishing non è sempre facile, ma alcuni semplici consigli e il buon senso ti aiuteranno. I siti di phishing hanno una serie di segnali che li tradiscono immediatamente! Presta attenzione a tutto ciò che sembra strano e insolito. Anche un utente inesperto può decidere in pochi minuti se fidarsi o meno di un sito.

Guarda attentamente l’URL

Prima di cliccare sul collegamento dal computer, si consiglia di verificarne il reale indirizzo premendo il tasto destro del mouse e selezionando "Visualizza codice". L’URL non deve essere troppo lungo, contenere caratteri incomprensibili o errori nel nome di dominio di una risorsa nota. Gli hacker possono apportare modifiche minori, incluso l’utilizzo di.edu,.link, ecc. invece di.com.

Inoltre, presta attenzione all’indirizzo quando sei già sul sito, poiché i truffatori spesso utilizzano reindirizzamenti ad altre risorse.

Contenuto del sito

Anche la presenza di errori di ortografia, un layout errato e/o un design non professionale può essere uno dei segni di un sito di phishing. I progetti originali sviluppati da grandi aziende si distinguono per esecuzione professionale, design di alta qualità e testi competenti.

Controlla il tipo di connessione

Le società ufficiali richiedono i dati di pagamento solo su siti con un protocollo “https” sicuro, se viene utilizzato un protocollo “http” non sicuro e vogliono che tu inserisca un numero di carta, il sito è phishing e dovrebbe essere lasciato immediatamente.

Insieme a questo, controlla il certificato SSL. La maggior parte dei siti Web legittimi dispone di certificati SSL validi emessi da un provider autorizzato.

I siti legittimi nascondono i dettagli della tua carta

Quando si immettono numeri di carta e password, i dati per motivi di sicurezza devono essere nascosti con punti o altri simboli.

Come proteggersi dal phishing?

La maggior parte dei browser Internet controlla l’affidabilità dei collegamenti, ma la tua capacità di valutare la situazione dovrebbe essere la prima linea di difesa contro il phishing. Impara a riconoscere i sintomi di phishing e ad aderire ai principi di sicurezza di base:

  • Non seguire link da sconosciuti;
  • Non fare clic su collegamenti brevi sospetti come bit.ly o goo.gl, anche se provengono da amici;
  • Configurare un sistema di autorizzazione a più fattori per sistemi di pagamento e conti bancari.
  • Salva nei preferiti i siti che utilizzi spesso per i pagamenti;
  • Installa un software antivirus sul tuo computer;
  • Utilizza browser come Chrome, Safari e Firefox che dispongono già della protezione anti-phishing.

A proposito, se hai ricevuto un collegamento abbreviato come bit.ly/FHjk77, può essere decifrato utilizzando il servizio UnTinyURL. Basta copiare il collegamento nella casella sulla pagina e fare clic sul pulsante Rivela.

Cosa succede se hai già inviato password o dettagli della carta??

Se sei caduto vittima di una truffa, ma l’hai capito in tempo, c’è ancora un modo per salvare i tuoi dati.

Innanzitutto, cambia le password il prima possibile. Se utilizzi le stesse password su siti diversi dovrai sostituirle anche tu.

In secondo luogo, contatta un servizio di sicurezza se hai inviato dati finanziari. Ti guideranno attraverso i passaggi di ciò che devi fare dopo. Di norma, i servizi di pagamento bloccheranno semplicemente i pagamenti per il momento.

E se hai trovato un sito web di phishing?

Immaginiamo che tu sia finito su un sito di phishing, ma sei riuscito a riconoscerlo in tempo. Quindi puoi aiutare le aziende e i motori di ricerca a bloccare la risorsa.

Avvertire gli amministratori del sito originale

Le informazioni sul sito di phishing possono e devono essere trasmesse ai proprietari della risorsa originale. Trova la sezione contatti e scrivi una e-mail o compila un modulo di feedback indicando le informazioni sul sito di phishing. Gli indirizzi e-mail delle società originali di solito iniziano con le parole support o info.

Contatta i servizi di supporto del fornitore di servizi di pagamento

Se sospetti che una forma di pagamento sia falsa, puoi verificarne l’originalità tramite il servizio di supporto del gestore del pagamento, il cui nome è indicato nel modulo di pagamento del sito.

Ad esempio, le pagine ufficiali dei fornitori di pagamento hanno gli indirizzi di posta elettronica dei servizi di assistenza clienti, con i quali è possibile verificarne l’originalità o segnalare la falsificazione di un modulo di pagamento.

Dillo al team di supporto del motore di ricerca

Google, Bing e altri motori di ricerca dispongono già di moduli speciali attraverso i quali puoi lamentarti delle truffe di phishing. Dedica un minuto di tempo e aiuterai a proteggere gli altri utenti dai truffatori.