La truffa si presenta sotto forma di una email che sembra provenire dal servizio clienti PostePay, un'impressione avvalorata dalla fedele riproduzione del layout originario delle comunicazioni di Poste Italiane. A parte questo elemento, altro fattore che rende questi messaggi particolarmente insidiosi è il fatto che riescano a bypassare facilmente i filtri antispam delle caselle di posta.
Come? Con un trucchetto utilizzato dagli hacker e chiamato "hash buster": si tratta di un programma che genera una stringa di testo che viene inserita nel messaggio di spam, in modo che tale email appaia diversa ogni volta che viene inviata e riesca dunque a ingannare i sistemi di blocco.
Nella fattispecie, la stringa di testo utilizzata è il celebre incipit del monologo dell'Amleto shakespeariano: "essere o non essere". In ogni caso, con l'utilizzo di alcuni strumenti di sicurezza più sofisticati del semplice antispam - come appunto quelli sviluppati da Sophos - è comunque possibile impedire l'accesso nella inbox a questo genere di messaggio. I programmi di protezione, infatti, riescono ad analizzare il film Html allegato alla mail e a identificarlo come come una minaccia di tipo Troj/Ifrin-A.
Poco tempo fa, a gennaio, anche il Centro Innovazione & Diritto (Cindi, un'associazione attiva nel campo della ricerca, formazione e aggiornamento in materia di diritto dell'informatica) ha stilato un decalogo di suggerimenti rivolti agli utenti che vogliano stare alla larga dai rischi connessi al phishing.
Eccolo:
1) Non aprire una email ricevuta da un indirizzo sconosciuto;
2) Mai comunicare dati personali né via e-mail, né cliccando sul link segnalato;
3) Verificare di persona (o al telefono) con la propria banca/assicurazione l'esistenza delle problematiche segnalate tramite e-mail;
4) Non lasciarsi intimidire dai toni minacciosi della mail o dall'annuncio di imminenti sciagure economico/finanziarie;
5) Non lasciarsi ammaliare da promesse di denaro in cambio della comunicazione dei propri dati personali;
6) Proteggere il proprio computer con efficaci software anti-virus e anti-spam;
7) Non usare password identiche per tutti gli account: è un modo comodo per non riempirsi di post-it o memo, ma ci rende più vulnerabili;
8) Testare la sicurezza del sistema digitando volutamente una password sbagliata e vedere se il sistema la accetta lo stesso;
9) In caso di acquisti online verificare sempre che il sito sia affidabile controllando la presenza della dicitura "https://" nell'indirizzo e dell'icona di un lucchetto in alto a sinistra nella barra del proprio browser e visualizzare il certificato di protezione del sito, facendo il doppio clic sul lucchetto;
10) Monitorare il conto bancario per verificare eventuali ammanchi.
Nessun commento:
Posta un commento