Recentemente Google ha rilasciato insolite dichiarazioni relativamente alla compromissione di alcuni account di posta elettronica di utenti Vip di Gmail, puntando i riflettori su una truffa molto comune on-line: il phishing.
Dall’inglese “pescare”, il phishing è un modo di convincere gli utenti di Internet a rivelare le informazioni personali, come ad esempio nome utente, password e numeri di carta di credito. I truffatori si fingono soggetti degni di fiducia e attirano le vittime su pagine Web false che sembrano siti legittimi. Si tratta di un’attività illegale che sfrutta una tecnica di ingegneria sociale, e che grazie a messaggi di spam che imitano grafico e logo dei siti istituzionali, ingannano gli utenti e li inducono a divulgare i propri dati personali.
Qualsiasi servizio online che prevede l’accesso con username e password può essere sfruttato da un messaggio di phishing. I criminali, grazie a questa tecnica, a volte rivendono le credenziali o utilizzano le informazioni ottenute per inviare spam. E’ possibile che anche chi sta leggendo questo articolo abbia ricevuto dei messaggi di spam provenienti dagli account di un proprio amico o conoscente. In questo caso, qualcuno ha preso possesso dei loro account, perché sono stati vittima di una truffa di phishing. Ci sono stati esempi di questo con account di Yahoo Mail, Earthlink, Twitter e molti altri. I phisher si stanno ora indirizzando anche verso dispositivi mobili.
Se non fosse per rivendere le credenziali o per lo spamming, questi attacker potrebbero agire in modo più mirato cercando di ottenere l’accesso agli account di persone specifiche. Si tratta di un tipo particolare di phishing che viene detto spear phishing e sembra che nell’attacco riportato da Google la scorsa settimana si sia trattato proprio di questo.
Il fattore umano
Gran parte del problema è quello che gli esperti di sicurezza chiamano il “livello 8” – il fattore umano. Purtroppo è molto facile ingannare gli utenti Internet inconsapevoli e spingerli a cliccare su dei link e a inserire i propri dati o indurli ad aprire file “malevoli” in grado di “catturare” ogni loro battitura sulla tastiera del PC. La tecnologia può essere parte della soluzione, ma la sensibilizzazione degli utenti e soprattutto l’educazione è anch’essa essenziale.
Google ha implementato misure di sicurezza, come un tipo di controllo che identifica da quali computer e da dove un utente accede comunemente e che avvisa quando gli accessi vengono tentati da un computer o una località differenti. Anche Facebook ha attivato simili contromisure e lo stesso molte banche online.
Google, inoltre, ora offre due livelli di verifica, una funzionalità che utilizza un telefono cellulare e una seconda password per accedere a un account Gmail. Questi tipi di autenticazione vengono già utilizzati da banche e altri servizi ad elevata sicurezza online. Dal momento che sempre più comunicazioni sensibili passano via e-mail, è corretto rendere sicure anche le e-mail.
Consigli utili
Cosa si può fare per evitare di essere vittima di un messaggio di phishing?
– Utilizzare le funzionalità di protezione offerte dal proprio provider di servizi online
– E ‘sempre importante stare allerta e addirittura rasentare la paranoia quando si utilizza il Web, soprattutto quando si stanno per immettere informazioni personali su un sito Web
– Non cliccare sui link contenuti nei messaggi e-mail
– Effettuare un doppio controllo per verificare se un sito Web sia legittimo prima di inserire informazioni personali. Per rendersi conto che si è su un sito contraffatto spesso è sufficiente notare che nella barra degli indirizzi, l’url è diverso da quello solito e anche il design ha qualcosa di diverso
– Ricordarsi di mantenere il proprio software di sicurezza aggiornato, utilizzando prodotti come le suite di sicurezza McAfee che proteggono dai siti Web di phishing
– Tenere il proprio sistema operativo e le applicazioni sempre aggiornati per impedire lo sfruttamento di falle di sicurezza
Ulteriori informazioni sono disponibili sul BLOG di McAfee:
http://blogs.mcafee.com/consumer/family-safety/google-disclosure-spotlights-phishing-scams