In un mondo dove il mobile phishing incalza, ecco alcuni consigli a riguardo

I tentativi di frode digitale sembrano non arrestarsi, piuttosto continuano ad aumentare in modo considerevole, sopratutto quelli che hanno a che fare con i dispositivi mobili. Il rilevamento delle e-mail potenzialmente dannose, la protezione dell’URL da mobile, la profilazione della sicurezza dei dispositivi mobili e, soprattutto la formazione degli utenti, sono i fattori fondamentali per proteggersi dal fenomeno.

A rivelarlo è un comunicato stampa dove viene riportato il pensiero di Pierluigi Torriani, Security Engineering Manager Italy di Check Point Software Technologies, che rivela alcuni metodi per evitare di ritrovarsi ad essere una vittima del mobile phishing.

Il phishing, definito anche pesca a strascico, è una particolare frontiera delle truffe informatiche mediante la quale si ingannano gli utenti della rete, convincendoli a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile. Il termine in questione è stato coniato nel lontano 1996, qualche giorno dopo la nascita del web, ma nonostante sia un metodo di frode piuttosto anziano ormai, continua a spopolare.

Il motivo è quasi banale, ovviamente funziona ancora efficacemente e per questo riscuote molto successo tra gli hacker di tutto il mondo. Secondo l’FBI, tra l’Ottobre 2013 ed il Maggio 2018, le perdite totali derivanti dalle email aziendali hanno superato i 12 miliardi di dollari a livello globale.

Nel dettaglio del phishing mobile, il continuo incrementarsi di questo genere di attacchi è imputabile, secondo Check Point Software Technologies, a molteplici cause tra le quali spiccano: il capillare sviluppo degli smartphone, le dimensioni ridotte dei loro display (che complicano l’ispezione degli URL ricevuti per email sui quali viene richiesto di cliccare) ed il fatto che i cellulari vengono usati per connettersi a più account di posta elettronica, consentendo agli hacker di scegliere come target sia gli account aziendali che quelli personali.

I principali vettori di phishing, sempre secondo Check Point, sarebbero i seguenti:

• Lo spear phishing via e-mail: ovvero tentativi di frode via e-mail rivolti a consumatori privati e alle aziende. Per quanto concerne i primi, solitamente i tentativi di spear phishing comportano il furto di numeri nomi, recapiti telefonici e account, utili per creare messaggi mirati e convincenti. Mentre gli attacchi nei confronti degli utenti aziendali prevedono la realizzazione di profili Linkedin, Facebook e Twitter e la successiva preparazione di email ad hoc da parte di un “dirigente”, attraverso le quali viene richiesto il pagamento o un servizio urgente. L’obiettivo è comportare una transazione legittima, ma fraudolenta;
• SMS phishing o smishing: si tratta di differenti metodologie di frode su larga scala mediante i quali vengono forniti URL dannosi agli utenti. Gli stratagemmi integrati sono tanti: la semplice reimpostazione delle password o gli aggiornamenti di sicurezza degli account, fino ad arrivare ad attacchi molto più mirati e personalizzati;
• L’app phishing: si tratta di truffe che sfruttano delle applicazioni mobili scaricabili sugli smartphone, per diffondere contenuti pericolosi.

Come detto, oltre alla protezione anti-phishing basata sul rilevamento ed il riconoscimento dei vari tipi di phishing, per proteggere individui e organizzazioni da questi attacchi sono necessarie anche altre misure, come la protezione degli URL (comprendente account email aziendali, personali, SMS e non solo), la profilazione di sicurezza basata sui dispositivi, per capire se i device sono stati intenzionalmente o inavvertitamente resi vulnerabili agli attacchi (bisogna esaminare le versioni del sistema operativo e i livelli di patch, i profili di configurazione e i certificati installati ed eseguire la scansione di app dannose).

Altro fattore fondamentale è rappresentato dall’educazione dell’utente. Gli internauti inconsapevoli e impreparati sono ovviamente più soggetti a cadere nelle trappole. Oggi come mai prima d’ora, con lo sviluppo degli attacchi di phishing mobile che si evolvono integrando sofisticate tecniche di social engineering per ingannare anche i più esperti, la formazione degli utenti può fare la differenza.

E’ necessaria un’educazione volta a far capire agli internauti privati e aziendali di diffidare da qualunque tipo di email sconosciuta, di evitare l’apertura di qualsiasi allegato, di non fornire mai alcun tipo di informazione personale, di prestare la massima attenzione verso le eventuali notifiche di pagamento impreviste ecc. Diventa importante anche la capacità di riconoscere i portali web potenzialmente falsi.

Secondo alcune stime, oggi, una email ogni 2.000 è un tentativo di phishing e, più di un milione di siti web fasulli vengono creati mensilmente per cercare di ingannare i malcapitati internauti ed indurli a fornire informazioni sensibili. Il rischio, che poi è ciò che si sta verificando, è che questa pratica continui nella sua enorme capillarizzazione. D’altronde per gli hacker si tratta soltanto di somministrare una massiccia dose di email e falsi link e attendere che qualcuno cada nella rete.

Per rimanere aggiornato sulle novità della telefonia unisciti al canale @mondomobileweb di Telegram. Seguici anche su Google News, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.