Detto fatto!

Cinque consigli per non finire nella trappola del phishing

Truffa digitale per eccellenza, il phishing sta vivendo un vero e proprio boom in tempo di Coronavirus. Marcel Zumbühl, capo sicurezza dell’informazione della Posta, ci svela in cinque consigli come capire quando una mail puzza di phishing.

Marcel Zumbühl, Chief Information Security Officer della Posta.

Sfruttando le vulnerabilità delle persone di fronte alla pandemia, si moltiplicano in modo esponenziale i tentativi dei criminali del web di raggirare le ignare vittime con attività di phishing o fronde informatica. Lo scopo è carpire informazioni personali sensibili, come il numero di una carta di credito o le credenziali per l’accesso dell’e-banking o a infettare computer o smartphone con software dannosi tramite link o allegati. «Nessuna persona, istituzione o azienda è esente da tali attacchi», spiega Marcel Zumbühl, capo sicurezza dell’informazione della Posta. «In linea di principio la Posta non chiede mai ai propri clienti per e-mail, SMS o telefono elementi di sicurezza personali come password o numeri di carte di credito.» Zumbühl, che di phishing se ne intende, ci svela qualche consiglio per riconoscere quando le mail puzzano di phishing.

  • Il messaggio giunge inaspettato? Le aziende non contattano mai senza una ragione precisa i propri clienti e non chiedono mai dati sensibili tramite e-mail. Diffidate pertanto delle e-mail non personalizzate («Gentile cliente, la preghiamo di indicarci il suo numero di carta di credito qui»), che fanno uso di toni intimidatori («se non immette le sue credenziali, saremo costretti a cancellare il suo account») o che riporta una data di scadenza imminente per l’azione dell’utente. Cancellate immediatamente le e-mail sospette.
  • Il mittente vi torna? Confrontate il nome del mittente con l’indirizzo email, passando con il mouse sopra l’indirizzo. Per andare sul sicuro, controllate nella casella mail se avete già ricevuto e-mail affidabili da quel mittente. Ad esempio, le e-mail informative sullo stato di un invio da parte della Posta sono spedite con mittente «notifications@posta.ch», sono firmate con DKIM e non contengono allegati XLS.
  • La prova del link. Prima di cliccare su un qualunque link, verificate che l’indirizzo visualizzato sia davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo semplicissimo, che può esser effettuato passando il mouse sopra il link stesso (senza cliccare!). Verificate che il nome del dominio (z.B. xxxx.nome-dominio.ch/xxxx) sia attinente al mittente.
  • HTTPS o HTTP? Una volta aperto il link, ecco una verifica veloce, importante prima di immettere qualsivoglia dati sensibili relativi a e-banking, shop online o social media: controllare che la connessione sia sicura HTTPS e non una normale HTTP. Per non sbagliare, l’ideale sarebbe immettete ogni volta manualmente nel campo dell’indirizzo del vostro browser internet gli indirizzi internet per un’area di login.
  • Password a prova di bomba: Il problema del proliferare delle password è annoso. Ma meglio essere amici di se stessi: usate sempre password sicure contenenti lettere maiuscole e minuscole, numeri e caratteri speciali.

Ci siete cascati? Cosa fare

Nel caso in cui abbiate inserito i vostri dati su una pagina di phishing, modificate immediatamente nel centro clienti le vostre password di accesso per i servizi postali e, se necessario, bloccate la carta di credito.
Segnalate i tentativi di phishing alla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Confederazione o al Servizio clienti della Posta.

Maggiori informazioni qui.