Il phishing consiste nell'invio di messaggi immediati o di posta elettronica del tutto identici a quelli emessi da società reali e affidabili, ma in realtà sono falsi. Lo scopo del mittente, di tali messaggi fraudolenti, è quello di indurre il destinatario nell'aprire il collegamento in esso contenuto. Se un'utente apre il collegamento contenuto in questa mail, si possono verificare due situazioni. La prima potrebbe essere quella di venire indirizzati ad una pagina Web o su una finestra di pop-up, apparentemente innocua ma falsa, creata appositamente per imitare il sito autentico dell'azienda. In una tale situazione, l'utente ingannato, si potrebbe trovare di fronte ad un invito a chiamare un numero di assistenza clienti, dove gli vengono chiesti dati personali o finanziari quali: numero di conto bancario, numero di carta di credito, password o codici di identificazione personale (PIN) che possono essere utilizzati per accedere ai conti o rubare l'identità della persona stessa. Tali dati possono essere anche richiesti direttamente nella pagina web che si pare cliccando sul collegamento contenuto nella mail.
La seconda situazione che si potrebbe venire a verificare e che nell'aprire il collegamento si consente la diffusione di spyware nel computer dell'utente.
Lo spyware è in grado di individuare ogni singola sequenza di tasti digitati e rubare le informazioni personali durante la digitazione. Questi programmi sono in grado di registrare l'accesso ai conti bancari, account di posta elettronica e altri account in linea, e di inviare le password o i numeri di conto al malintenzionato.
In uno scenario aziendale, il malintenzionato, può utilizzare i più comuni trucchi da hacker per accedere non solo al computer compromesso ma bensì a tutta la rete aziendale. Alcune regole per non cadere nel tranello
Nella sezione precedente abbiamo analizzato quali potrebbero essere i rischi legati al fenomeno del phishing. Di seguito, verranno descritte alcune regole, valide sia per ambito aziendale che privato, per cercare di evitare o quanto meno di ridurre il fenomeno del phishing e i rischi ad esso legati.
1. AGGIORNARE PERIODICAMENTE I PC Prima di tutto è necessario dotarsi di sistemi di protezione dei computer e della rete. Questo implica l'installazione di software antivirus su tutti i pc e per la protezione di un eventuale rete e dei pc stessi, utilizzare un firewall Internet. Lo scopo del firewall è quello di creare una barriera protettiva (o muro) tra la rete aziendale o il singolo pc, e internet. Attraverso la configurazione del firewall si stabilisce quale traffico è autorizzato a viaggiare sulla rete e quale no sia in ingresso che in uscita. Altro aspetto, da non trascurare, è mantenere sempre aggiornati questi software in modo tale che riconoscano tutti i tipi di attacchi i rischi per la sicurezza. Pertanto, scaricare ad intervalli regolari, gli aggiornamenti più recenti per software antispyware e antivirus. Ormai la maggior parte di questi software possono essere configurati per il download automatico degli aggiornamenti ed anche per la scansione automatica del sistema. Scaricare gli aggiornamenti più recenti per il sistema operativo e tutti gli applicativi usati sul pc o nella rete aziendale. Visitare il sito web Windows Update per scaricare gli aggiornamenti più recenti per i programmi Microsoft.
2. RIDURRE L'ESPOSIZIONE AL RISCHIO
Utilizzare i filtri per la posta indesiderata, ad esempio Outlook 2003 include un filtro della posta indesiderata per il controllo della posta in arrivo. In ambito aziendale, ad esempio se si utlizza Microsoft Exchange 2003, ci si può avvalere di ulteriori tecnologie di filtro per il controllo della posta. In commercio esistono anche altri programmi per controllare e filtrare la posta sia per un utilizzo domestico che aziendale.
3. FORMAZIONE DEI DIPENDENTI (ambito aziendale)
In ambito aziendale è importante stabilire una politica per l'utilizzo di Internet che stabilisca le modalità di utilizzo del Web per uso personale e specifichi tutte le attività non consentite, al fine di ridurre il più possibile eventuali rischi per la sicurezza. Consigliare ai propri dipendenti di non inserire informazioni private nei messaggi di posta elettronica, in un messaggio immediato o in una finestra di pop-up. Le società affidabili non utilizzano questi metodi per la richiesta di informazioni riservate. Inoltre è importante evitare di aprire link, contenuti nelle mail, se il mittente non è considerato attendibile o addirittura sconosciuto. Suggerire ai propri dipendenti, che hanno dubbi sull'autenticità di un messaggio di posta elettronica, di recuperare il numero dell'azienda e di telefonare. Per quanto riguarda l'esplorazione dei siti Web è consigliabile digitare direttamente l'indirizzo URL o utilizzare un segnalibro dei preferiti.
4. VERIFICARE CHE IL SITO WEB PROTEGGA I DATI RISERVATI
Di solito gli autori di phishing, falsificano l'indirizzo Web visualizzato dal browser. Se si ha il minimo dubbio sull'autenticità del sito non proseguire con l'esplorazione del sito e chiudere il browser. Se il sito, invece, è ritenuto attendibile, effettuare comunque un controllo sulle caratteristiche del sito prima di continuare la navigazione o fornire dati personali o finanziari. Una possibile verifica, potrebbe essere, quella che l'indirizzo Web inizi con https ("s" sta per sicuro) anziché con http e controllare la presenza di una icona raffigurante un lucchetto o una chiave sulla barra delle applicazioni (queste icone segnalano la crittografia dei dati, una misura di sicurezza che consente di proteggere le informazioni riservate in Internet). Eventualmente fare doppio clic sul lucchetto per visualizzare il certificato di protezione del sito. Assicurarsi che il nome del sito o dell'indirizzo Web corrisponda a quello presente nel certificato di protezione.
Letto su WinTricks.it