c.m.g
14-12-2007, 16:09
12.12.2007
http://www.anti-phishing.it/image.news/pacco.jpg
E’ tempo di regali e quindi di shopping on-line, ma è anche il tempo di cyber criminali. «McAfee, grazie all’esperienza di pioniere nella sicurezza informatica, mette in evidenza come questi hacker non siano pervasi dallo spirito natalizio come tutti, mentre sono invece intenti a creare una serie di truffe volte a causare danni ai PC e sottrarre alla gente il denaro destinato allo shopping online per Natale. Le tattiche e gli strumenti tecnologici potrebbero essere molto sofisticati; in realtà, le modalità di attacco purtroppo sono piuttosto superate.
Ecco una serie di esempi di truffe tipiche che questi attacker digitali hanno perpetrato l’anno scorso:
- Hanno mandato email dall’aspetto invitante, con presentazioni in Power Point intitolate “Christmas+Blessing-4”, i cui allegati includevano software malevolo.
- Hanno creato siti fasulli di beneficenza estremamente realistici e apparentemente identici a quelli autentici – grafica forte, con i giusti contenuti strappalacrime – ottenendo i soldi ricevuti dalle donazioni.
- Hanno offerto e-mail gratuite di auguri che includevano malware e altre tecniche di raggiro per rubare l’identità degli utenti.
Questi semplici imbrogli tuttavia hanno funzionato. Basta dare un’occhiata ai numeri del phishing, una tecnica per inviare e-mail apparentemente legittime ma studiate appositamente per tentare gli utenti con attività fasulle di banking, business e persino attraverso siti di beneficenza. Un report Gartner segnala che quasi 15 milioni di persone sono in qualche modo cadute vittime di truffe via phishing nel solo 2006. Ciò significa circa una ogni due secondi. Ancora più inquietante è il fatto che i soldi recuperati dagli utenti sono diminuiti dall’80% a solo il 54%.
Con l’occasione, ecco alcuni consigli utili da leggere con attenzione. McAfee suggerisce alcuni avvertimenti per essere certi che e i soldi vadano a finire effettivamente dove erano destinati.
- Non cadere nella trappola del phishing: le truffe di phishing sono email e siti fraudolenti, che si presentano come organizzazioni legittime, con l’intento di indurre a rivelare informazioni personali. Le aziende legittime non manderanno mai un’email chiedendo a un cliente informazioni personali.
- Non inserire informazioni personali all’interno di un messaggio pop up: i phisher potrebbero indirizzarli ad altri siti web autentici di organizzazioni o di aziende, facendo poi apparire un altro messaggio pop up non autorizzato creato dai truffatori, con i campi in cui inserire le informazioni personali. Può essere utile installare un software per bloccare i pop up per aiutare a prevenire questo tipo di attacco di phishing.
- Controllare che un sito web sia sicuro: quando si forniscono dati personali al sito di un’organizzazione, è importante controllare che vi siano segni di autenticità di sicurezza – un’icona con un lucchetto sulla barra dello stato del browser o una URL del sito che inizia con “https:” (la “s” indica “sicuro”). Tuttavia, bisogna essere consapevoli che questi indicatori non sono sicuri al 100%, poiché persino le icone di sicurezza potrebbero essere contraffatte.
- Utilizzare password “robuste”: creare password che combinano lettere (maiuscole e minuscole), numeri e caratteri speciali, e che siano più lunghe di sei caratteri. Un esempio di password “robusta” potrebbe essere Go1dM!n3.
- Essere certi della propria destinazione online: utilizzare una suite di sicurezza McAfee, che integra la tecnologia SiteAdvisor per avvisare gli utenti sui siti a rischio che potrebbero contenere virus o spyware prima di accedervi. SiteAdvisor assegna icone intuitive di colore verde, giallo o rosso ai siti e ai risultati dei motori di ricerca, basandosi su test proprietari effettuati su oltre il 95% del traffico web.
- Installare un software di sicurezza completo, e tenerlo costantemente aggiornato: alcune email contengono software in grado di danneggiare i computer o di registrare segretamente le attività su internet. Sia i software antivirus che firewall proteggeranno dall’apertura accidentale di tali file indesiderati. L’anti-virus effettua un’analisi delle comunicazioni in entrata che contengono file malevoli, mentre il firewall protegge sia le connessioni interne ed esterne dei computer. Il firewall è uno strumento essenziale per chi possiede una connessione a banda larga o DSL che lascia il computer connesso a internet 24 ore su 24.
- Se dice che è gratuito... costerà caro: attenzione ai download “gratuiti”, come i siti di e-card e di screensaver – molti includono spyware nascosto e programmi di adware che possono monitorare informazioni chiave, registrare i login su Internet e trasmettere informazioni confidenziali.
- Non utilizzare i link presenti all’interno di email per visitare un sito web: non effettuare mai il taglia-incolla del link da un messaggio sul browser internet – i phisher possono creare link che possono sembrare autentici quando in realtà non è così. Si consiglia di aprire un nuova pagina di ricerca e digitare manualmente l’indirizzo web dell’azienda »
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/news/articoli/news121207.php)
http://www.anti-phishing.it/image.news/pacco.jpg
E’ tempo di regali e quindi di shopping on-line, ma è anche il tempo di cyber criminali. «McAfee, grazie all’esperienza di pioniere nella sicurezza informatica, mette in evidenza come questi hacker non siano pervasi dallo spirito natalizio come tutti, mentre sono invece intenti a creare una serie di truffe volte a causare danni ai PC e sottrarre alla gente il denaro destinato allo shopping online per Natale. Le tattiche e gli strumenti tecnologici potrebbero essere molto sofisticati; in realtà, le modalità di attacco purtroppo sono piuttosto superate.
Ecco una serie di esempi di truffe tipiche che questi attacker digitali hanno perpetrato l’anno scorso:
- Hanno mandato email dall’aspetto invitante, con presentazioni in Power Point intitolate “Christmas+Blessing-4”, i cui allegati includevano software malevolo.
- Hanno creato siti fasulli di beneficenza estremamente realistici e apparentemente identici a quelli autentici – grafica forte, con i giusti contenuti strappalacrime – ottenendo i soldi ricevuti dalle donazioni.
- Hanno offerto e-mail gratuite di auguri che includevano malware e altre tecniche di raggiro per rubare l’identità degli utenti.
Questi semplici imbrogli tuttavia hanno funzionato. Basta dare un’occhiata ai numeri del phishing, una tecnica per inviare e-mail apparentemente legittime ma studiate appositamente per tentare gli utenti con attività fasulle di banking, business e persino attraverso siti di beneficenza. Un report Gartner segnala che quasi 15 milioni di persone sono in qualche modo cadute vittime di truffe via phishing nel solo 2006. Ciò significa circa una ogni due secondi. Ancora più inquietante è il fatto che i soldi recuperati dagli utenti sono diminuiti dall’80% a solo il 54%.
Con l’occasione, ecco alcuni consigli utili da leggere con attenzione. McAfee suggerisce alcuni avvertimenti per essere certi che e i soldi vadano a finire effettivamente dove erano destinati.
- Non cadere nella trappola del phishing: le truffe di phishing sono email e siti fraudolenti, che si presentano come organizzazioni legittime, con l’intento di indurre a rivelare informazioni personali. Le aziende legittime non manderanno mai un’email chiedendo a un cliente informazioni personali.
- Non inserire informazioni personali all’interno di un messaggio pop up: i phisher potrebbero indirizzarli ad altri siti web autentici di organizzazioni o di aziende, facendo poi apparire un altro messaggio pop up non autorizzato creato dai truffatori, con i campi in cui inserire le informazioni personali. Può essere utile installare un software per bloccare i pop up per aiutare a prevenire questo tipo di attacco di phishing.
- Controllare che un sito web sia sicuro: quando si forniscono dati personali al sito di un’organizzazione, è importante controllare che vi siano segni di autenticità di sicurezza – un’icona con un lucchetto sulla barra dello stato del browser o una URL del sito che inizia con “https:” (la “s” indica “sicuro”). Tuttavia, bisogna essere consapevoli che questi indicatori non sono sicuri al 100%, poiché persino le icone di sicurezza potrebbero essere contraffatte.
- Utilizzare password “robuste”: creare password che combinano lettere (maiuscole e minuscole), numeri e caratteri speciali, e che siano più lunghe di sei caratteri. Un esempio di password “robusta” potrebbe essere Go1dM!n3.
- Essere certi della propria destinazione online: utilizzare una suite di sicurezza McAfee, che integra la tecnologia SiteAdvisor per avvisare gli utenti sui siti a rischio che potrebbero contenere virus o spyware prima di accedervi. SiteAdvisor assegna icone intuitive di colore verde, giallo o rosso ai siti e ai risultati dei motori di ricerca, basandosi su test proprietari effettuati su oltre il 95% del traffico web.
- Installare un software di sicurezza completo, e tenerlo costantemente aggiornato: alcune email contengono software in grado di danneggiare i computer o di registrare segretamente le attività su internet. Sia i software antivirus che firewall proteggeranno dall’apertura accidentale di tali file indesiderati. L’anti-virus effettua un’analisi delle comunicazioni in entrata che contengono file malevoli, mentre il firewall protegge sia le connessioni interne ed esterne dei computer. Il firewall è uno strumento essenziale per chi possiede una connessione a banda larga o DSL che lascia il computer connesso a internet 24 ore su 24.
- Se dice che è gratuito... costerà caro: attenzione ai download “gratuiti”, come i siti di e-card e di screensaver – molti includono spyware nascosto e programmi di adware che possono monitorare informazioni chiave, registrare i login su Internet e trasmettere informazioni confidenziali.
- Non utilizzare i link presenti all’interno di email per visitare un sito web: non effettuare mai il taglia-incolla del link da un messaggio sul browser internet – i phisher possono creare link che possono sembrare autentici quando in realtà non è così. Si consiglia di aprire un nuova pagina di ricerca e digitare manualmente l’indirizzo web dell’azienda »
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/news/articoli/news121207.php)