Nel mondo delle truffe, una stessa tipologia di minaccia può assumere connotati differenti per impatto, conseguenze e modalità. Questo è proprio il caso del Phishing che trova nella sua forma diverse modalità di azione sfruttate abilmente dai vari cybercriminali. Forse non ne hai sentito molto parlare, ma una delle minacce più astute e pericolose è il cosiddetto Spear Phishing. Cosa cambia rispetto a quanto siamo abituati solitamente?
Partiamo da ciò che lo accomuna ovvero una email contenente un link pericoloso che cerca di truffare il destinatario. Ciò che differenzia questo attacco dal normale phishing è il contenuto. Infatti, al suo interno il testo della mail si concentra su individui specifici. In altre parole, il contenuto fa riferimento a informazioni specifiche che riguardano il destinatario. Di conseguenza questo rende molto più pericolosa una truffa del genere rispetto ad altre.
Infatti, se ricevo una mail indirizzata alla mia persona è più probabile che la prenda sul serio, anche se potrebbe nascondere seri pericoli e provocare conseguenze catastrofiche alla mia sicurezza e alla mia privacy digitale. Come fanno i criminali a risalire alle informazioni personali del destinatario? Sfruttano il sistema di Open-Source Intelligence (OSINT). In altre parole i cybercriminali utilizzano questa tecnologia per raccogliere informazioni disponibili pubblicamente e prendere di mira singole persone o aziende.
Come riconoscere lo Spear Phishing
Se in una mail fuori contesto personale può essere facile riconoscere o scoprire un tentativo di truffa, diventa più difficile se quella email contiene dati personali del destinatario. Ecco come agisce lo Spear Phishing. Evitare le trappole di questa minaccia può non essere così facile. Tuttavia è sempre meglio prendersi del tempo in più per esaminare un contenuto che agire di impulso.
Il problema è che questa tecnica agisce con estrema fantasia, non avendo uno standard classico come ad esempio il messaggio truffa PayPal che è universale per tutti. Qui il sistema di truffa è molto più sottile. Puoi riconoscerlo perché si tratta di richieste insolite come la richiesta da parte della tua azienda di credenziali per aumentarti lo stipendio.
Oppure, sempre nell’ambito dello Spear Phishing, una mail contenente un documento importante da scaricare e visualizzare. In tutto questo si trovano menzioni specifiche ai tuoi dettagli personali per rendere fonte affidabile quello che in realtà è una mail truffaldina. Purtroppo tutti questi tentativi di guadagnare la fiducia delle potenziali vittime ottengono un discreto successo.
Cosa devi fare per difenderti
Difendersi dallo Spear Phishing diventa quindi una priorità massima. Ma come è possibile farlo efficacemente se la tecnica è così subdola da sfruttare dati personali del destinatario? La cosa più importante è quella di evitare sempre di aprire link o scaricare file da una email sconosciuta. Se non sei stato tu a richiedere quel file non avviare il download. Verifica prima il mittente.
Spesso all’apparenza queste email sembrano essere inviate da aziende e brand famosi, magari proprio dall’azienda per cui lavori o da un sito che hai visitato da poco. Controlla sempre l’indirizzo email del mittente e, nel caso fosse incluso un link da cliccare, copialo e incollalo in una nota o in un programma di testo così da esaminarlo prima di visitarlo. Diffida subito da quei siti che iniziano con http:// e non con https:// perché non sono sicuri. E se anche possono sembrare sicuri, confronta quei link con il sito ufficiale di quell’azienda o di quel brand.