Proteggi il tuo account dal phishing

Il termine phishing descrive truffe sul furto d'identità attuate per mezzo di siti web fasulli ed email o messaggi di altro tipo. L'obiettivo di un attacco di phishing è quello di ottenere l'accesso al tuo account e ai tuoi dati sensibili. I malintenzionati possono agire replicando un sito web affidabile o inviandoti un messaggio apparentemente proveniente da una fonte attendibile. I messaggi di phishing possono provenire da account falsi o hackerati.

Un messaggio di phishing potrebbe richiederti di svolgere le seguenti attività:

  • Visitare un link.
  • Scaricare un file.
  • Aprire un allegato.

Se esegui una di queste azioni, un malware — software malevolo come un worm, trojan, bot o virus — può infettare il tuo computer o dispositivo mobile. Dopo che il tuo dispositivo è stato infettato, un intruso può accedere ai tuoi dati personali.

I tentativi di phishing possono anche consistere in richieste dirette di informazioni personali, come le credenziali del tuo conto bancario.

I tentativi di phishing potrebbero consistere nella richiesta di fornire informazioni personali:

  • Via email o tramite un altro sistema di messaggistica.
  • Attraverso un modulo.
  • A un numero di telefono fraudolento.
  • A un indirizzo fisico fasullo.

Anche la richiesta di inserire il tuo indirizzo email e reimpostare la password può essere pericolosa.

Riconosci i segnali di pericolo

Puoi proteggerti dal phishing identificando i segnali di pericolo. Leggi attentamente i messaggi, anche se sembrano provenire da mittenti affidabili, e verifica i siti web, anche quando sembrano familiari.

Linguaggio eccessivamente generico

Sebbene il phishing possa essere ben studiato e personalizzato per te e la tua attività, il linguaggio generale è un elemento caratteristico del phishing. Diffida dei messaggi che sembrano provenire da una struttura di cui ti fidi ma che esordiscono con affermazioni vaghe:

Gentile titolare del conto,

Allo stesso modo, se un messaggio prospetta un'importante opportunità commerciale o finanziaria ma non include dettagli sufficienti per confermare che il mittente ti conosce, potrebbe essere una truffa:

Sono Federico, un banchiere. Per favore contattami al più presto riguardo la possibile eredità di un parente defunto. Non posso svelare molto via sms. Mandami un'email all'indirizzo qui sotto.

Comunicazioni commerciali da account personali

I malintenzionati più scaltri possono raccogliere online abbastanza informazioni su di te per creare messaggi apparentemente provenienti da un tuo contatto esistente:

Aggiornamento prezzi all'ingrosso

Ciao Georgia, volevo solo aggiornarti. Ecco un foglio di calcolo con i nostri attuali prezzi all'ingrosso: fabric-prices-2016-oct.xls

Spero che tu sia soddisfatta dell'ultimo lotto di camicie! Per favore fammi sapere se hai domande o dubbi.

--

Julia Chan

Account Manager

Esempio Tessuti

Per attaccarti, possono hackerare l'account aziendale di un tuo contatto o creare un account personale falso. Ad esempio, se il nome utente dell'email personale del tuo contatto Julia è juliachan3857, un malintenzionato potrebbe scriverti da un account col nome utente juliachan9665. Questa forma di attacco fa leva su due fattori:

  • Alle persone capita di inviare erroneamente delle email da un account sbagliato.
  • Anche se conosci l'indirizzo email personale di Julia, potresti non controllarlo con attenzione.

Errori di ortografia, grammatica scadente e variazioni nello stile

I criminali non prendono le guide di stile tanto sul serio quanto i copywriter professionisti. Oltre agli errori di battitura e grammatica, possono essere indice di un sito web fraudolento anche le variazioni all'interno della stessa pagina di:

  • ortografia.
  • uso delle lettere maiuscole.
  • numeri
  • punteggiatura.
  • formattazione.

Tono allarmistico o sovreccitato

Stai attento alle richieste con una scadenza imminente, volte a spaventarti e a farti agire senza pensare. Ad esempio, Shopify non ti invierà mai un messaggio che dice:

Si è verificato un catastrofico errore del server. Rispondi con nome utente e password nelle prossime 24 ore o perderai l'accesso al tuo negozio in modo permanente.

Allo stesso modo, stai attento ai messaggi che fanno offerte troppo belle per essere vere. Ad esempio, uno sconto del 90% da parte di un'agenzia di viaggi disponibile solo se agisci subito.

URL che appaiono inesatti

I tentativi di phishing possono includere URL che sembrano legittimi, se non li osservi attentamente. Molti tentativi di phishing utilizzano URL deliberatamente prescelti perché somiglianti a URL con cui hai già familiarità. Come mostrato nella tabella qui sotto, se normalmente acquisti abbigliamento da nuoto di "Esempio Abbigliamento" attraverso l'URL legittimo e ricevi un'email con un link all'URL falso, puoi dire che si tratta di un tentativo di phishing.

L'URL autentico indirizza a un sito sul dominio example-apparel.com, che appartiene a Esempio Abbigliamento, mentre l'URL fasullo indirizza a un sito malevolo sul dominio com-aquatic.net, che è probabilmente di proprietà di criminali.

URL legittimo URL fasullo
esempio-abbigliamento.com/nuoto/costumi esempio-abbigliamento.com-nuoto.net/costumi

Solleva i tuoi dubbi usando un diverso canale di comunicazione

Parla al presunto mittente del messaggio sospetto di persona o al telefono e risolvi i tuoi dubbi su una pagina web parlando con qualcuno dell'azienda.

Se contatti il mittente per telefono, utilizza il numero che hai in archivio o che appare su più fonti online attendibili. Ad esempio, se ricevi via email una richiesta di informazioni sospetta dall'Agenzia delle Entrate, chiama l'agenzia al numero riportato sulla documentazione ufficiale in tuo possesso. Non chiamare il numero indicato su un'email o su un sito sospetto.

Assicurati che la connessione ai siti web sia protetta dal protocollo HTTPS

Quando ti connetti a qualsiasi sito web dove potrebbe esserti richiesto di inserire un nome utente e una password o altri dati sensibili, controlla che accanto all'URL nel browser appaia l'icona del lucchetto:

L'icona del lucchetto indica che la connessione al sito è criptata mediante il protocollo HTTPS. Gli URL con connessioni criptate iniziano con https:// anziché http://. Le connessioni che utilizzano il protocollo http:// inviano i dati in testo semplice, il che significa che durante la trasmissione i dati possono essere intercettati e letti.

Prima di cliccare sul link a un sito dove potresti dover inserire delle informazioni, assicurati che l'URL inizi con https://.

Non interagire con allegati, link o moduli se non si tratta di qualcosa che attendevi e di cui conosci il contenuto. Non solo possono reindirizzarti verso un sito malevolo progettato per il furto dei tuoi dati, ma possono anche infettare il tuo dispositivo con un malware.

Quando il testo di un link è un URL, assicurati che vi sia corrispondenza tra testo e collegamento. Ad esempio, un link scritto come https://help.shopify.com nel corpo di un'email potrebbe indirizzarti a una pagina di phishing su un altro URL:

Molti attacchi di phishing cercano di sfruttare l'home banking. Se ricevi un'email sospetta dalla tua banca con l'offerta speciale di una linea di credito, non cliccare sul link. Inserisci invece l'URL della tua banca manualmente in una nuova finestra e verifica se l'offerta viene mostrata nella dashboard del tuo conto.

Presta attenzione con il wi-fi pubblico

Il wi-fi pubblico è comodo quando sei in viaggio, ma offre ai malintenzionati molti modi diversi per accedere alle tue informazioni. Puoi ridurre i rischi adottando misure per proteggere te stesso e i tuoi dati.

Verifica i nomi degli hotspot

I malintenzionati possono creare hotspot wi-fi non criptati con il nome di hotspot affidabili della zona, come ad esempio la rete di un bar. Se ti connetti all'hotspot di phishing, vieni reindirizzato alla pagina del malintenzionato, dove puoi essere esposto a malware o ricevere la richiesta di inserire dati personali.

Prima di connetterti, assicurati che l'hotspot che intendi utilizzare sia legittimo. Se non riesci a visualizzare il nome dell'hotspot nei posti dove normalmente è pubblicato, chiedi a un dipendente.

Disattiva i punti di accesso al tuo dispositivo

Anche collegandoti a un hotspot wi-fi pubblico legittimo, puoi comunque essere a rischio, se ti trovi nella stessa rete di un utente malintenzionato. Le reti wi-fi pubbliche sono molto meno sicure dei network privati come quello di casa o dell'ufficio:

Proteggiti disattivando la condivisione dei file all'interno della rete e abilitando il firewall prima di connetterti. Anche con queste precauzioni, non è comunque una buona idea inviare o ricevere contenuti sensibili utilizzando una rete wi-fi pubblica.

Invia e ricevi dati sensibili su una VPN

Una rete privata virtuale stabilisce una connessione sicura tra il tuo dispositivo e i server della società di VPN. I server VPN trasmettono le tue informazioni a internet. Se un utente malintenzionato accede ai dati che stai trasmettendo e ricevendo tramite un hotspot wi-fi pubblico, i dati vengono criptati e non sono utilizzabili:

Techradar e PC Mag sono ottimi punti di partenza se cerchi informazioni su come scegliere una VPN.

Senza una VPN, l'opzione più sicura è quella di evitare la trasmissione di dati sensibili tramite il wi-fi pubblico.

Segui le linee guida degli organi istituzionali se i tuoi dati personali sono compromessi

Le informazioni personali identificabili (PII) sono costituite dai dati che potrebbero essere utilizzati per identificare una determinata persona o anche per impersonarla. I tipi di PII includono:

  • Nome e cognome.
  • Indirizzo email.
  • Indirizzo.
  • Numero di telefono.
  • Numero della carta di credito.
  • Numero di identità nazionale (SIN, SSN, passaporto, ecc.).
  • Patente di guida.
  • Data di nascita.

Se hai fornito dati personali identificabili attraverso un canale sospetto o il tuo account Shopify è stato compromesso, consulta le linee guida degli organi istituzionali, come queste informazioni del governo canadese e statunitense:

Canada

Cosa fare:

Sporgi una denuncia:

Stati Uniti

Cosa fare:

Sporgi una denuncia:

Sei pronto/a per iniziare a vendere con Shopify?

Provalo, è gratis