È importante sapere come identificare un sito di phishing per evitare di cadere vittima di truffe che possono causare perdite finanziarie, furti di identità o altre forme di crimine informatico. Gli attacchi di phishing continuano a rivelarsi uno dei modi più efficaci e di successo per i criminali informatici di lanciare attacchi informatici che ci frodano e rubano le nostre informazioni personali, tra cui password, credenziali e dati finanziari.
La nostra crescente dipendenza da Internet per svolgere gran parte delle operazioni quotidiane ha fornito ai truffatori l'ambiente perfetto per lanciare attacchi di phishing mirati.
Le e-mail di phishing sono una forma sofisticata di attacco informatico sempre più difficile da individuare. Uno studio condotto da Intel ha rilevato che il 97% delle persone non riesce a identificare le e-mail di phishing da quelle autentiche nella propria casella di posta elettronica.
Ma non sono solo le e-mail di phishing a essere utilizzate per indurre i destinatari a cliccare su link, scaricare malware o divulgare informazioni sensibili. Un'altra tattica comunemente utilizzata dai criminali informatici consiste nel creare siti web di phishing compromessi per indurre le vittime a inserire informazioni sensibili.
Le truffe di phishing spesso includono siti web falsi per ingannare gli utenti ignari e fargli credere di essere su un sito legittimo, compromettendo la loro sicurezza. I truffatori spendono molto tempo per far sembrare il sito il più credibile possibile e molti siti appaiono quasi indistinguibili da quelli reali.
I migliori consigli per verificare un sito di phishing
Per determinare se il sito in cui vi trovate è legittimo, o un falso ben fatto, dovreste fare i seguenti passi:
1. Controllare l'URL
Il primo passo per identificare un attacco di phishing è passare il mouse sull'URL e verificare la validità del nome del dominio.
Cercate l'icona di un lucchetto nella barra degli indirizzi e verificate che l'URL inizi con "https://" o "shttp://". La "S" indica che l'indirizzo web è stato crittografato e protetto con un certificato SSL. Senza HTTPS, qualsiasi dato trasmesso sul sito non è sicuro e potrebbe essere intercettato da terzi criminali informatici.
Tuttavia, questo sistema non è del tutto infallibile e nell'ultimo anno si è registrato un notevole aumento del numero di siti di phishing che utilizzano certificati SSL. Si consiglia agli utenti di essere molto cauti e di cercare ulteriori prove che il sito sia sicuro.
Dovresti anche prestare molta attenzione all'ortografia di un indirizzo web. Per ingannare gli utenti e fargli credere di essere su un sito ufficiale, i truffatori si attengono il più possibile all'indirizzo reale e fanno piccole modifiche all'ortografia. Un indirizzo web che termina con .co.uk potrebbe essere cambiato in .org, o la lettera O potrebbe essere sostituita dal numero 0. Es: www.yah00.org. L'indirizzo web può anche contenere caratteri extra e simboli che gli indirizzi ufficiali non contengono.
2. Valutare il contenuto di un sito
La creazione di un sito web ufficiale richiede molto lavoro e molta attenzione. La grafica sarà nitida, l'ortografia e la grammatica saranno perfette e l'intera esperienza sembrerà curata. Se vi trovate su un sito di phishing, nonostante la somiglianza del marchio, l'intera esperienza vi sembrerà al di sotto degli standard e potrebbe indicare che vi siete imbattuti in un sito di phishing.
Semplici errori di ortografia, inglese non corretto, errori grammaticali o immagini a bassa risoluzione dovrebbero far capire che ci si trova su un sito di phishing e che è meglio abbandonarlo immediatamente.
Un'altra area del sito web che può indicare un attacco di phishing è la mancanza di una sezione "contattaci". I siti web ufficiali di solito hanno una pagina dedicata a fornire tutti i dettagli di contatto della loro azienda. Questi includono l'indirizzo postale, il numero di telefono, l'indirizzo e-mail e i canali dei social media. Se non viene fornito nessuno di questi dettagli, si tratta di un'indicazione di un sito di phishing.
3. Controlla chi possiede il sito web
Tutti i domini devono registrare il loro indirizzo web, quindi vale la pena di fare una ricerca WHOIS per vedere chi è il proprietario del sito. Si tratta di un servizio gratuito che consente di verificare chi è il proprietario del sito web, quando è stato creato e fornisce i dettagli per contattarlo.
I sospetti dovrebbero essere sollevati se il sito web è attivo da meno di un anno o se si pensa di essere sul sito di un marchio leader, ma l'indirizzo web è registrato a un individuo in un altro paese. In questo caso, è più probabile che si tratti di un attacco di phishing.
4. Leggere le recensioni online
Vale sempre la pena di fare qualche ricerca su un'azienda per verificare se è affidabile e se è chi dice di essere. È molto probabile che se un sito ha truffato delle persone in passato, le vittime vadano online per condividere la loro esperienza e avvertire gli altri utenti di evitare il sito di phishing. Se ci sono molte recensioni negative dei clienti, è una buona indicazione che si tratta di un attacco di phishing.
5. Metodi di pagamento affidabili
I siti web legittimi accettano sempre le carte di credito come metodo di pagamento o possono utilizzare un portale come PayPal per le transazioni online. Se l'unica opzione di pagamento offerta da un sito web è il bonifico bancario, allora è il caso di suonare un campanello d'allarme. I siti affidabili non chiederanno mai ai consumatori di pagare con questo metodo. Ciò indica che nessuna banca ha fornito servizi di carta di credito per il sito web e lo scenario più probabile è che abbiate a che fare con un truffatore.
Articoli correlati:
Cosa fare se si clicca su un link di phishing
Le principali tendenze emergenti in materia di sicurezza informatica