Protezione dell'account da phishing, vishing e smishing

Il termine phishing descrive truffe sul furto d'identità attuate per mezzo di siti web fasulli ed email o messaggi di altro tipo. L'obiettivo di un attacco di phishing è quello di ottenere l'accesso al tuo account e ai tuoi dati sensibili. I malintenzionati possono agire replicando un sito web affidabile o inviandoti un messaggio apparentemente proveniente da una fonte attendibile. I messaggi di phishing possono provenire da account falsi o hackerati.

I malintenzionati potrebbero anche utilizzare tattiche simili per attaccare il tuo account, quali vishing, phishing vocale, SMiShing e phishing via SMS per raccogliere dati sensibili. Fai attenzione a non fornire dati sensibili al telefono e a non cliccare su link potenzialmente fraudolenti inviati tramite SMS. Se sospetti di aver ricevuto una chiamata o un SMS di phishing, contatta immediatamente l'Assistenza Shopify.

Un messaggio di phishing potrebbe richiederti di svolgere le seguenti attività:

• visitare un link;
• scaricare un file;
• aprire un allegato;
• fornire dati personali o i codici di autenticazione in due passaggi.

Se effettui una di queste azioni, un malware, ovvero un software malevolo come worm, trojan, bot e virus, potrebbe infettare il tuo computer o dispositivo mobile. Una volta infettato il tuo dispositivo, l'utente malintenzionato può accedere ai tuoi dati personali.

I tentativi di phishing possono anche consistere in richieste dirette di informazioni personali, come le credenziali del tuo conto bancario.

I tentativi di phishing potrebbero richiederti dati personali nei seguenti modi:

• via email o tramite altri sistemi di messaggistica;
• tramite un modulo;
• utilizzando un numero di telefono fraudolento;
• utilizzando un indirizzo fisico fasullo.

Anche la richiesta di inserire il tuo indirizzo email e reimpostare la password può essere pericolosa.

Riconosci i segnali di pericolo

Puoi proteggerti dal phishing identificando i segnali di pericolo. Leggi attentamente i messaggi, anche se sembrano provenire da mittenti affidabili, e verifica i siti web, anche quando sembrano familiari.

Linguaggio generico e vago

Sebbene il phishing possa essere ben studiato e personalizzato per te e il tuo negozio, il linguaggio generico è un elemento caratteristico dei tentativi di phishing. Diffida dei messaggi che sembrano provenire da un'organizzazione di cui ti fidi ma che esordiscono con affermazioni vaghe, come Gentile titolare dell'account.

Allo stesso modo, se un messaggio prospetta un'importante opportunità commerciale o finanziaria ma non include dettagli sufficienti per confermare che il mittente ti conosce, potrebbe trattarsi di una truffa:

Sono Federico, un banchiere.

Per favore contattami al più presto riguardo la possibile eredità di un parente defunto.

Non posso svelare molto via sms. Mandami un'email all'indirizzo qui sotto.

Comunicazioni commerciali da account personali

I malintenzionati più scaltri possono raccogliere online abbastanza informazioni su di te per creare messaggi apparentemente provenienti da un tuo contatto esistente.

Aggiornamento prezzi all'ingrosso

Gentile Giorgia,

ti scrivo per fornirti le informazioni più recenti. Ti allego un foglio di calcolo contenente i nostri prezzi attuali all'ingrosso: fabric-prices-october.xls

Spero che tu sia soddisfatta dell'ultimo lotto di camicie! Per favore fammi sapere se hai domande o dubbi.

Julia Chan
Account Manager
Example Fabrics

I malintenzionati possono violare l'account aziendale di un tuo contatto o creare un account personale fasullo per inviarti un messaggio email di phishing. Ad esempio, se il nome utente per l'email personale del tuo contatto Julia è juliachan3857, un utente malintenzionato potrebbe inviare un messaggio email da un account con nome utente juliachan9665. Questa forma di attacco si basa sui seguenti comportamenti:

• Le persone spesso inviano messaggi email dall'account sbagliato per errore.
• Anche conoscendo l'indirizzo email personale di Julia, potresti non farci caso e non notare la differenza.

Tono allarmistico o sovreccitato

Fai attenzione alle richieste con una scadenza imminente, volte a spaventarti e a farti agire senza pensare. Ad esempio:

Si è verificato un catastrofico errore del server. Rispondi con nome utente e password nelle prossime 24 ore o perderai l'accesso al tuo negozio in modo permanente.

I messaggi email potrebbero contenere offerte troppo belle per essere vere, ad esempio uno sconto del 90% da parte di un'agenzia di viaggi disponibile solo se agisci immediatamente.

Errori di ortografia, grammatica scadente e variazioni nello stile

Anche se un sito web o un messaggio email fraudolento possono sembrare professionali, potrebbero contenere errori di battitura e di grammatica. Per determinare se un sito web o un messaggio email sono fraudolenti, cerca errori o incongruenze nei seguenti elementi:

• Ortografia
• Maiuscole
• Numeri
• Punteggiatura
• Formattazione

URL sospetti

I tentativi di phishing possono includere URL che sembrano legittimi, se non osservati attentamente. Molti tentativi di phishing utilizzano URL scelti deliberatamente perché somiglianti a URL con cui hai già familiarità. Ad esempio, se normalmente acquisti abbigliamento da nuoto di "Esempio Abbigliamento" attraverso l'URL legittimo e ricevi un'email con un link a un URL falso, puoi affermare che si tratta di un tentativo di phishing.

L'URL autentico indirizza a un sito sul dominio example-apparel.com, che appartiene a Esempio Abbigliamento, mentre l'URL fasullo indirizza a un sito malevolo sul dominio com-aquatic.net, che è probabilmente di proprietà di criminali.

Shopify e richieste di documenti sensibili

Shopify non ti chiede mai di fornire direttamente dati sensibili tramite un messaggio email in forma di testo, immagine o allegato.

Di seguito sono riportati alcuni esempi di documenti sensibili:

• Qualsiasi forma di identificazione
• password
• Dati della carta di credito
• Coordinate bancarie
• Numeri di identità nazionali, quali SIN (Social Insurance Number, numero di assicurazione sociale) o SSN (Social Security Number, numero di previdenza sociale)

Shopify può chiederti di inviare documenti sensibili solo tramite una pagina di caricamento sicura che inizia con app.shopify.com o .shopify.com.

Solleva i tuoi dubbi usando un diverso canale di comunicazione

Parla al presunto mittente del messaggio sospetto di persona o al telefono e risolvi i tuoi dubbi su una pagina web parlando con qualcuno dell'azienda.

Se contatti il mittente per telefono, utilizza il numero che hai in archivio o che appare su più fonti online attendibili. Ad esempio, se ricevi via email una richiesta di informazioni sospetta dall'Agenzia delle Entrate, chiama l'agenzia al numero riportato sulla documentazione ufficiale in tuo possesso. Non chiamare il numero indicato su un'email o su un sito web sospetto.

Verifica della connessione ai siti web mediante protocollo HTTPS

Quando ti connetti a qualsiasi sito web dove potrebbe esserti richiesto di inserire un nome utente e una password o altri dati sensibili, controlla che accanto all'URL nel browser appaia l'icona del lucchetto.

L'icona del lucchetto indica che la connessione al sito è criptata mediante il protocollo HTTPS. Gli URL con connessione criptata iniziano con https:// anziché http://. Le connessioni che utilizzano il protocollo http:// inviano i dati in testo normale, il che significa che durante la trasmissione i dati possono essere intercettati e letti.

Prima di cliccare su un link a un sito dove ti è richiesto di inserire delle informazioni, verifica che l'URL inizi con https://.

Apertura di allegati o link non inaspettati

Non interagire con allegati, link o moduli se non si tratta di qualcosa che attendevi e di cui conosci il contenuto. Non solo possono reindirizzarti verso un sito malevolo progettato per il furto dei tuoi dati, ma possono anche infettare il tuo dispositivo con un malware.

Quando il testo di un link è un URL, assicurati che vi sia corrispondenza tra testo e collegamento. Ad esempio, un link scritto come https://help.shopify.com nel corpo di un'email potrebbe indirizzarti a una pagina di phishing con un altro URL.

Molti attacchi di phishing tentano di sfruttare l'home banking. Se ricevi un'email sospetta dalla tua banca con l'offerta speciale di una linea di credito, non cliccare sul link. Inserisci invece l'URL della tua banca manualmente in una nuova finestra e verifica se l'offerta viene mostrata nella dashboard del tuo conto.

Utilizzo prudente del Wi-Fi pubblico

Il Wi-Fi pubblico è comodo quando sei in viaggio, ma offre ai malintenzionati molti modi diversi per accedere alle tue informazioni. Puoi ridurre i rischi adottando misure per proteggere te stesso e i tuoi dati.

Verifica i nomi degli hotspot

I malintenzionati possono creare hotspot Wi-Fi non criptati utilizzando nomi simili a quelli di hotspot affidabili presenti nella zona, come ad esempio la rete di un bar. Se ti connetti all'hotspot di phishing, verrai reindirizzato alla pagina del malintenzionato, dove puoi essere esposto a malware o ricevere la richiesta di inserire dati personali.

Prima di connetterti a un hotspot, assicurati che l'hotspot che hai intenzione di utilizzare sia legittimo. Se non riesci a visualizzare il nome dell'hotspot nei posti dove normalmente è pubblicato, chiedi a un dipendente.

Disattivazione dei punti di accesso al tuo dispositivo

Anche collegandoti a un hotspot Wi-Fi pubblico legittimo, puoi comunque essere a rischio, se ti trovi nella stessa rete di un utente malintenzionato. Le reti Wi-Fi pubbliche sono molto meno sicure delle reti private come quelle di casa o dell'ufficio.

Proteggiti disattivando la condivisione dei file all'interno della rete e abilitando il firewall prima di connetterti. Anche con queste precauzioni, non è comunque una buona idea inviare o ricevere contenuti sensibili utilizzando una rete Wi-Fi pubblica.

Invio e ricezione di dati sensibili su una VPN

Una rete privata virtuale stabilisce una connessione sicura tra il tuo dispositivo e i server della società di VPN. I server VPN trasmettono le tue informazioni a Internet. Se un utente malintenzionato accede ai dati che stai trasmettendo e ricevendo tramite un hotspot Wi-Fi pubblico, i dati vengono crittografati e non sono utilizzabili.

Techradar e PC Mag sono ottimi punti di partenza se cerchi informazioni su come scegliere una VPN.

Senza una VPN, l'opzione più sicura è quella di evitare la trasmissione di dati sensibili tramite il Wi-Fi pubblico.

Linee guida degli organi istituzionali in caso di compromissione dei dati personali

Le informazioni personali identificabili (PII) sono costituite dai dati che potrebbero essere utilizzati per identificare una determinata persona o anche per impersonarla. Le PII includono i seguenti tipi di informazioni:

• Nome e cognome
• indirizzo email
• Indirizzo
• Numero di telefono
• Numero della carta di credito
• Numero di identità nazionale (SIN, SSN, passaporto, ecc.)
• Patente di guida
• Data di nascita

Se hai fornito dati personali identificabili attraverso un canale sospetto o il tuo account Shopify è stato compromesso, consulta le linee guida degli organi istituzionali, come queste informazioni del governo canadese e statunitense.

Canada

Cosa fare:

• RCMP - Guida per l'assistenza alle vittime del furto d'identità e dell'usurpazione d'identità

Sporgi una denuncia:

• Centro antifrode canadese: fai una denuncia

Stati Uniti

Cosa fare:

• FTC: Segnalazione delle frodi
• FTC - Furto d'identità: passaggi

Sporgi una denuncia:

• FBI: Criminalità informatica