Postepay, ultima truffa per molti utenti: in pericolo conto correnti

Il costo annuale stimato del crimine informatico sull’economia mondiale è stato nel 2015 di 450 miliardi di dollari.1 Una somma davvero notevole. L’aspetto più preoccupante è che il 90-95% di tutti gli attacchi informatici che hanno successo parte da un’email di phishing. Si è stimato che circa 156 milioni di email vengono inviate ogni giorno, 16 milioni oltrepassano i filtri di sicurezza, e 800.000 di queste vengono non solo aperte ma anche cliccate.

Infine, si stima che circa 80.000 delle persone che hanno cliccato su un link ha inconsapevolmente fornito agli attaccanti informazioni riservate. Oltre a ciò, ogni tre mesi vengono identificate qualcosa come 250.000 nuove URL di phishing. Sebbene si possano effettuare campagne automatizzate e massive di phishing, le campagne che hanno più successo sono quelle costruite su misura attorno ad un’organizzaazzione o una persona, il cosiddetto spear phishing.

Tuttavia, una significativa quantità di email massive che sembrano essere inviate da un indirizzo falso o contraffatto hanno anch’esse successo. Riuscire a non soccombere ad una campagna di phishing massiva è un punto di svolta nel livello di consapevolezza di un individuo o di un’organizzazione. Come per l’apprendimento di un nuovo linguaggio, il punto di svolta è dato quando la struttura della lingua comincia ad acquisire un senso e tutto da quell momento in poi diviene più facile da imparare. Nel phishing, similmente, un punto di svolta si ha quando si diviene chiaramente consapevoli dei segnali, e si possono apprendere facilmente le nuove tecniche del phishing. Una volta che abbia raggiunto questo punto di svolta, l’utente sarà in grado di non cliccare sui link di phishing in regolarmente e sistematicamente per un lungo periodo di tempo.

Sorvegliare i vostri dati I criminali informatici prendono di mira le vostre attività online per la quantità di dati che possono rubare grazie ad esse. È per questo che dovete essere consapevoli di
quante informazioni diffondete online. Nel mondo connesso di oggi, è molto facile cadere nella tentazione di condividere troppo, che sia con gli account dei social network, con i post nei blog o persino tramite gli upload di foto. Tutto ciò che viene pubblicato online può venire raccolto per ottenere più informazioni su di voi e la vostra famiglia.

I moltissimi tentativi di furto online che commettono i male intenzionati hai danno di Poste sono innumerevoli, quelli che quotidianamente vengono sottoposti al vaglio dalla Polizia Postale non sono pochi. Il phishing è sempre più frequente e si rivolge soprattutto ai titolari di carte PostePay Standard e PostePay Evolution con email ed SMS fittizi.

Polizia Postale: ecco alcuni tentativi di frode rivolti ai titolari delle carte recentemente segnalati!

Ecco alcuni tentativi di frode online segnalati dalla Polizia Postale proprio negli ultimi giorni sulla sua pagina “Commissariato di PS Online – Italia”. Le email o gli SMS in questione sono rivolti ai clienti di Poste Italiane, titolari di carte PostePay e sono utilizzati da hacker che tentano di derubare gli utenti. La truffa in questione è definita phishing e può essere bloccata senza alcun problema. Il consiglio più importante, infatti, è di ignorare ed eliminare messaggi di questo tipo.

Il tentativo di frode più recente arriva tramite SMS e informa l’utente di aver ricevuto un blocco improvviso della carta poiché richiesto dalla Polizia Postale. Una comunicazione  falsa che cita la Polizia Postale al fine di conferire ufficialità al messaggio ma, ovviamente, l’ente non ha nulla a che vedere con la truffa.

Leggi anche:  Netflix preso di mira da nuove truffe: utenti nel panico e conti svuotati

Un altro SMS phishing richiede ai clienti titolari di PostePay il rinnovo dei suoi dati poiché la carta è stata “LIMITATA”, tra errori ortografici e termini poco appropriati gli hacker inseriscono anche un link che gli consentirà di ottenere le vostre credenziali. Una procedura tipica del phishing che anche in un altro caso, riguardante il “blocco del conto Poste” è stata utilizzata.

E’ tipico del phishing inserire link fraudolenti e richiedere credenziali spacciandosi per aziende ed enti sicuri. Non dare ascolto a questo tipo di comunicazioni è quindi fondamentale. Qui abbiamo riportato soltanto alcune delle segnalazioni presenti sulla pagina ufficiale della Polizia Postale. Sarebbe utile tenersi sempre aggiornati visitandola così da riconoscere e sfuggire alle possibili frodi.

Cos’è il phishing

Attenzione alle richieste “strane”… Il phishing è un modo per indurre gli utenti a rivelare con l’inganno informazioni personali o finanziarie attraverso un messaggio di posta elettronica o un sito Web. Una comune frode tramite il phishing in linea si basa su un messaggio di posta elettronica simile a un avviso ufficiale inviato da un’origine attendibile, ad esempio una banca, una società emittente di carte di credito o un commerciante su Internet di chiara reputazione. I destinatari del messaggio di posta elettronica vengono indirizzati a un sito Web fraudolento, in cui viene richiesto di specificare informazioni personali, ad esempio un numero di conto o una password.

Queste informazioni vengono quindi utilizzate per appropriarsi dell’identità altrui. Come riconoscere un messaggio di posta elettronica attendibile Il mittente del messaggio è conosciuto dal destinatario? Se il messaggio proviene da una persona sconosciuta, prestare massima attenzione e aprire il messaggio solo dopo attenta valutazione. Se il messaggio sembra provenire da una persona conosciuta, insospettirsi qualora l’oggetto risulti strano o inadeguato, oppure gli allegati contengano file di programma, come per esempio offerta.exe; infatti gran parte dei virus odierni in circolazione sono in grado di simulare indirizzi di posta elettronica facendo in modo che il messaggi sembri provenire da una persona conosciuta. Il mittente ci ha già scritto messaggi precedentemente? Se si conosce la persona o la società che ha inviato il messaggio ma non sono mai stati ricevuti messaggi di posta elettronica in precedenza, verificare il motivo per il quale si è ricevuto il messaggio.

Controllare il testo dell’oggetto e il nome file dell’eventuale allegato. Se una qualsiasi parte del testo sembra sospetta, eliminare il messaggio oppure analizzarlo con un software antivirus aggiornato prima di aprirlo. Era atteso di ricevere messaggi dal mittente? Se la ricezione non era prevista, inviare un messaggio di posta elettronica distinto al mittente, senza aprire il messaggio per rispondere, e chiedere conferma dell’effettivo invio del messaggio. L’oggetto del messaggio o il nome dell’allegato è coerente con il messaggio e con il contenuto? È possibile che un messaggio non previsto il cui oggetto è incomprensibile apparentemente inviato da un amico sia in realtà stato inviato da un virus che simula l’invio con l’indirizzo di posta elettronica dell’amico. I messaggi nel cui oggetto si invita a eseguire un’operazione, ad esempio “Importante! Aprire immediatamente l’allegato!” sono quasi certamente non sicuri ed è pertanto opportuno non aprirli, se non dopo avere effettuato una scansione del messaggio con un antivirus aggiornato.

Cosa fare per proteggersi dal phishing (dal “Decalogo ABI”)

Il phishing è una frode informatica ideata allo scopo di rubare i dati personali di un utente (es. chiavi di accesso al servizio di home banking, numero di carta di credito); viene attuato da truffatori che inviano false e-mail apparentemente provenienti da una banca o da una società emittente carte di credito, composte utilizzando il logo, il nome e il layout tipico dell’azienda imitata, che invitano il destinatario a collegarsi tramite un link a un sito Internet del tutto simile a quello della banca e a inserirvi, generalmente attraverso una finestra pop-up che si apre dallo stesso link, le informazioni riservate. Esempio di phishing: “Gentile utente, durante i regolari controlli sugli account non siamo stati in grado di verificare le sue informazioni. In accordo con le regole di xxxxxx abbiamo bisogno di confermare le sue reali informazioni. è sufficiente che lei completi il modulo che le forniremo. Se ciò non dovesse avvenire saremo costretti a sospendere il suo account.” Ecco alcune semplici regole che possono aiutare gli utenti Internet a non cadere in questo tipo di truffe:

1. Diffidate di qualunque mail che vi richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio di home banking o altre informazioni personali. La vostra banca non richiederà tali informazioni via e-mail. 2. È possibile riconoscere le truffe via e-mail con qualche piccola attenzione; generalmente queste email: · non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici) · fanno uso di toni “intimidatori”, ad esempio minacciando la sospensione dell’account in caso di mancata risposta da parte dell’utente · non riportano una data di scadenza per l’invio delle informazioni 3. Nel caso in cui riceviate un’e-mail contenente richieste di questo tipo, non rispondete all’e-mail stessa, ma informate subito la vostra banca tramite il call centre o recandovi in filiale. 4. Non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi a un sito contraffatto, difficilmente distinguibile dall’originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l’indirizzo corretto, non vi fidate: è possibile infatti per un hacker visualizzare nella barra degli indirizzi del vostro browser un indirizzo diverso da quello nel quale realmente vi trovate. 5. Diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali, quali in particolare @. 6. Quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l’indirizzo che compare nella barra degli indirizzi del browser comincia con “https://” e non con “http://” e nella parte in basso a destra della pagina è presente un lucchetto. 7. Diffidate se improvvisamente cambia la modalità con la quale vi viene chiesto di inserire i vostri codici di accesso all’home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contattate la vostra banca tramite il call centre o recandovi in filiale. 8. Controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito per assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate la banca e/o l’emittente della carta di credito. 9. Le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende è anche possibile verificare che il vostro browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare le patch. 10. Internet è un pò come il mondo reale: come non dareste a uno sconosciuto il codice PIN del vostro bancomat®, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri dati riservati senza essere sicuri dell’identità di chi li sta chiedendo. In caso di dubbio, rivolgetevi alla vostra banca!

E’ stata testata l’efficacia del programma di KnowBe4 “Kevin Mitnick Security Awareness Training” in un esperimento della durata di 6 mesi. Il campione era costituito da utenti rappresentativi di cinque differenti compagnie mediopiccole di settori critici dell’industria, per un totale di 1090 partecipanti. La formazione comprendeva un’interfaccia web ad una piattaforma di apprendimento interattivo. Utilizzando questo tipo di formazione, i partecipanti al corso potevano cliccare sugli argomenti, guardare dei video e testare la propria conoscenza. Il tempo medio di completamento in media è di 40 minuti. Nel corso dell’esperimento sono state testate le più comuni email aziendali provenienti da Risorse Umane e IT. Prima dell’inizio del training, a tutti i partecipanti è stata inviata una email di phishing per costituire una baseline. Nell’email veniva richiesto di modificare immediatamente la propria password e, nel caso in cui il link di phishing fosse stato cliccato, si apriva una pagina ‘404 Not Found’. Successivamente, i partecipanti avevano un mese per completare la formazione online di 40 minuti e, al termine, sono state inviate quattro campagne di phishin su base mensile. Se cliccate, si apriva una landing page che notificava il fatto che si era trattato di un’email di phishing e forniva un breve riassunto delle cose cui è necessario prestare attenzione.

Combinare l’Analisi del Phishing Guidata dai Dati ed il Fattore Umano Che sia per motivi legali, di audit, di istruzione o di sicurezza, molte organizzazioni hanno ingaggiato delle compagnie che fanno formazione sulla security awareness per essere aiutate a ridurre i rischi degli attacchi di phishing. Tuttavia, qualche volta il consiglio di amministrazione e gli auditor sono interessati soltanto ad un basso numero di click, senza investigare più a fondo negli aspetti umani di coloro che cliccano, e ciò un buco nero nell’ingegneria sociale dell’azienda. Come si dice nei circoli della sicurezza informatica, i difensori devono essere capaci di evitare il 100% degli attacchi, mentre agli attaccanti basta avere successo con un solo attacco. Con centinaia di milioni di email di phishing inviate ogni giorno, per i difensori ciò costituisce uno sforzo titanico. Gli impiegati possono costituire una linea difensiva efficace se istruiti adeguatamente e quando l’analisi dei dati può servire ad indirizzare la giusta formazione alla giusta audience. Raggiungere un punto di svolta nell’azienda con un basso numero di click che dura nel tempo è il primo passo. Quello successivo è comprendere i pochi che continuano a cliccare e i fattori sottostanti a questo comportamento. Se un’organizzazione sta tentando di ridurre il rischio del phishing, deve andare al di là del tasso di click e comprendere l’elemento umano per costruire un atteggiamento anti-phishing più robusto. Abbiamo raggiunto un punto di svolta relativamente al phishing. E ora? Che cosa accade quando un individuo o un’organizzazione raggiungono il punto di svolta? È il momento di alzare il livello. Il punto di svolta è una rampa di lancio per il proseguimento dell’istruzione in modo più sofisticato e strategico. Così come non possiamo aspettarci che chi ha appena imparato a leggere sia in grado di leggere la letteratura classica, non possiamo neppure attenderci che coloro che sono stati appena istruiti sulla consapevolezza del phishing siano capaci di rispondere ad APT costituite da email di spear-phishing. Sin dall’infanzia, l’acquisizione della conoscenza è un processo graduale e fortunatamente può essere migliorata ed accresciuta grazie ad istruzione ed esperienza.

Il passo successive è fare ripetute modifiche ai livelli di phishing. Durante questo periodo è importante avere dei canali di comunicazione aperti con fornitori interni od esterni di servizi di phishing simulato. Questi ultimi sarebbe auspicabile che integrassero l’affiancamento del cliente tra i servizi offerti, in modo da aiutare le organizzazioni a capire come accrescere la propria consapevolezza su questi temi in un modo che meglio si adatti alla specifica cultura aziendale, ai settori, ed al personale. La Cultura della Sicurezza supporta la Prima Linea di Difensori Umani In sostanza, tutto si reduce a consapevolezza ed istruzione. La ragione per cui molte persone sono esperte in merito alle truffe del “Principe Nigeriano” è l’essere stata illustrata innumerevoli volte sulla stampa,7 ed un numero significativo di persone ne hanno avuto esperienza diretta o tramite qualche loro conoscente, oppure ancora tramite qualche storiella che è uno dei migliori modi per diffondere la consapevolezza. La morale è che più sono le persone consapevoli di come si presenta un’email di phishing e più sono le probabilità di evitarlo. Le abitudini richiedono del tempo per formarsi ed entrare a far parte della vita di ogni giorno; lo stesso si applica al divenire “cyber streetsmart” ed alla prevenzione del phishing. Portare un’intera organizzazione dal livello zero alla prima linea di difesa contro criminali informatici, spionaggio industriale e hacker navigate richiede un’istruzione graduale e la pazienza di comprendere il panorama umano di quella organizzazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *