L’autunno è un periodo perfetto per uscire e passare un po‘ di tempo fuori. I criminali, nel frattempo, sembrano intensificare le loro campagne di phishing, dato che la routine quotidiana di cancellare le e-mail e gli SMS indesiderati e maligni richiede ogni giorno più tempo.
La dura verità
Vi sorprenderebbe sapere che poco più del 60% dei partecipanti a un recente quiz di phishing, condotto da ESET, ai quali sono state presentate quattro immagini di messaggi di phishing o reali, non sono riusciti a identificarli tutti correttamente?
ESET Phishing Derby è un gioco a partecipazione gratuita organizzato dal team ESET negli Stati Uniti progettato per mostrare quanto siamo competenti nell'identificare i messaggi falsi o reali. Il sistema di punteggio si basa sulla velocità e sul distinguere correttamente i messaggi, e il quasi 40% che ha identificato correttamente i campioni può includere alcuni partecipanti che ne hanno identificati tre correttamente in un tempo super-veloce. Quindi, in realtà, il numero che ha identificato correttamente tutti e quattro i messaggi è probabilmente inferiore. Il quiz non è stato progettato per generare statistiche, è stato progettato per creare consapevolezza e aiutare ad educare i partecipanti su come identificare le email false.
È interessante notare che i risultati mostrano una marcata differenza nel modo in cui i partecipanti più giovani tra i 18-24 anni hanno identificato correttamente i campioni - 47%, rispetto al solo 28% di quelli oltre i 65 anni. Quelli tra i 25 e i 44 anni hanno raggiunto il 45% e i 45-64enni il 36%. Nel caso vi stiate chiedendo della validità di questi dati, il numero di partecipanti era di 4.292, e i dati raccolti sono un sottoprodotto e non uno studio accademico. Un risultato simile è stato presentato quando lo stesso quiz è stato condotto da ESET Canada alla fine del 2020, con il 68% dei partecipanti che non ha identificato correttamente tutti e quattro i campioni. Potete fare i test qui o qui.
Quali azioni dovremmo compiere in base ai risultati? Se state leggendo questo blog, allora è probabile che abbiate la necessità di imparare di più sulla cybersecurity e sul rimanere al sicuro online. Quindi, lasciate che vi dia una sfida durante questo mese della Cybersecurity Awareness - prendete il messaggio sull'essere cauti riguardo alle e-mail e ai messaggi e altre buone pratiche che potete adottare per rimanere al sicuro online e insegnatele ad amici e familiari, con una particolare attenzione sui più anziani, poiché i dati dimostrano che potrebbero beneficiare di un po' più di aiuto.
Si potrebbe pensare che con le continue campagne di sensibilizzazione da parte di organizzazioni finanziarie, aziende di cybersecurity, governi e simili che promuovono il messaggio di consapevolezza della cybersecurity, questo numero dovrebbe essere più basso, molto più basso, e potrei essere d'accordo. Tuttavia, alcune e-mail di phishing che arrivano nelle caselle di posta sono così ben realizzate e sembrano proprio come quelle vere, rendendo molto più difficile identificarle come false. Questa sfida diventerà sempre più difficile man mano che i criminali informatici perfezioneranno la loro arte.
Phresh phish
La settimana scorsa, ho ricevuto un'email che si supponeva provenisse da American Express, notificandomi che un tentativo di transazione sospetta era stato bloccato e richiedendomi di rivedere le transazioni recenti. A prima vista, l'email sembra legittima, ben scritta e con una buona grafica, ma ci sono alcuni segni evidenti che l'email è un falso.
Per cominciare, non ho una carta American Express Business Platinum. Se però avete un conto, può essere comprensibile perché questo potrebbe indurvi a fare il passo successivo, aprirlo ed eventualmente cliccare sul link contenuto al suo interno. L'email è progettata per creare una reazione emotiva, 'oh no, c'è una frode sul mio conto, devo rimediare, clicca'.
Inoltre, uno dei falsi identificatori per me in questa specifica e-mail è l'indirizzo 'Caro utente della carta' e poi il 'Conto che inizia con 37*****'. American Express sa chi sono i suoi clienti e non si riferisce a loro genericamente nelle comunicazioni, e le compagnie di carte di credito normalmente usano le cifre finali più uniche di un numero di conto, non i numeri meno unici all'inizio del numero di conto. Come ex dipendente di American Express, so che tutte le carte emesse da loro iniziano con 3 e il secondo numero è o un '4' o un '7', quindi il numero usato nell'e-mail che ho ricevuto è generico e valido per molti titolari di carte, un approccio da fucile del criminale informatico per catturare una vittima.
Le maggiori risorse informatiche prontamente disponibili per i criminali informatici stanno per rendere il rilevamento dei phishing più difficile per i loro obiettivi; per esempio, l'affitto della potenza del cloud computing, le massicce quantità di informazioni personali disponibili dalle violazioni dei dati, e in una certa misura i finanziamenti dai recenti attacchi informatici di successo che vengono reinvestiti per far crescere il settore commerciale del crimine informatico. Ora immaginate che l'e-mail di phishing "American Express" che si spaccia per phishing abbia il nome del titolare della carta e le ultime 4 cifre del numero della carta, ricavate dai dati violati: la probabilità che il destinatario clicchi sul link aumenterà senza dubbio in modo significativo.
Altri allarmi per individuare attacchi di phishing
Ecco altri consigli su come identificare un'email di phishing:
- L'email non si rivolge a te personalmente, quando nella società che si suppone il mittente saprebbe chi sei e tipicamente invia email indirizzate personalmente e non genericamente.
- Errori di grammatica e di ortografia: poiché le email di phishing migliorano, assicurati di leggerle due volte perché gli errori possono essere più difficili da individuare.
- L'email non è richiesta da un'azienda con cui non hai mai comunicato.
- Un invito a compiere un'azione urgente, cliccare su un link e accedere per rivedere le transazioni o simili
- L'indirizzo e-mail: passa il mouse sull'indirizzo e-mail e controlla l'indirizzo reale del mittente e il dominio da cui è stato inviato.
- Le e-mail con allegati, per esempio, che pretendono di essere una fattura o una notifica di qualche tipo.
La mia raccomandazione nei casi in cui rimane l'incertezza sul fatto che un'email sia reale o falsa è di visitare il sito web del presunto mittente direttamente attraverso un browser, accedere al proprio account e cercare eventuali messaggi. Qualsiasi cosa importante sarà nei messaggi dell'account o nella casella di posta elettronica e, se necessario, contattare l'azienda e convalidare la richiesta.