Il punto di vista di Matt Cooke, cybersecurity strategist, EMEA di Proofpoint
Gli Europei di calcio 2024 stanno per cominciare, e come ogni evento portano con sé un picco di attività dei cybercriminali. Che si tratti di cercare gli ultimi biglietti delle partite, organizzare un viaggio last minute in Germania, o semplicemente partecipare a discussioni sui forum online, le occasioni per frodare i singoli consumatori non mancano. Per questo, Proofpoint invita tutti i fan in cerca di un buon affare a prestare attenzione alle truffe di social engineering. Come già accaduto in occasione di precedenti eventi sportivi di alto profilo, è possibile che i criminali informatici utilizzino questo evento come esca per ingannare le persone a condividere informazioni sensibili o versare denaro nella speranza di acquistare biglietti inesistenti.
Le truffe di social engineering sono quelle in cui un malintenzionato manipola la psicologia umana per sfruttare le persone, inducendole a divulgare informazioni sensibili fingendo di essere una figura o un servizio fidati. Questi attacchi possono essere molto efficaci perché si basano sulla tendenza umana a fidarsi degli altri o a cedere alla curiosità di scoprire nuove offerte o informazioni che fungono da esca.
Indipendentemente dal fatto che i criminali informatici prendano di mira aziende o privati, per fingere credibilità fanno leva su eventi e temi in tempo reale che hanno l’attenzione del mondo intero. Le persone sono vulnerabili le loro emozioni possono essere sfruttate trasmettendo un senso di urgenza, generando eccitazione per un’opportunità o creando paura di perdere denaro o di fare qualcosa di sbagliato.
Come evitare di essere truffati?
Gli utenti dovrebbero fare attenzione a questi elementi quando considerano un messaggio:
• Spoofing del mittente: la maggior parte degli utenti non sa che l’indirizzo e-mail di un mittente può essere contraffatto, ma un sistema corretto di e-mail security impedirà ai mittenti non verificati di accedere alla casella di posta del target. Invece, un attaccante registrerà un dominio simile a quello ufficiale nella speranza che l’utente colpito non noti le differenze nella battitura.
• Link a siti web non professionali: i link di phishing sono talvolta utilizzati con l’ingegneria sociale per indurre gli utenti a divulgare informazioni sensibili. È consigliabile non inserire mai le credenziali in un sito web direttamente da un link, anche se sembra ufficiale. Meglio cercarlo tramite il classico motore di ricerca.
• Fare attenzione ai messaggi truffaldini che cercano di spingere a rispondere in modo istintivo: se sembra “troppo bello per essere vero”, è probabile che lo sia. Se si riceve un’e-mail, o anche una telefonata o un messaggio che cerca di fare pressione per prendere una decisione immediata, è opportuno fare un bel respiro e rifletterci.
• L’attaccante di solito vuole una risposta rapida ed emotiva – puntando sulla preoccupazione che un pacco stia per essere restituito, o un conto bloccato, o sull’eccitazione per un’offerta apparentemente imperdibile, come la disponibilità di biglietti last minute per una partita di calcio, ma solo con una risposta immediata.