Shopping online: come difendersi dalle truffe

E’ appena passato il Cyber Monday venuto dopo il Black Friday; siamo entrati nel lungo periodo caratterizzato dall’aumento di acquisti online che proseguirà fino a Natale. Lo shopping online porta con sé anche un aumento dei rischi di andare incontro a spiacevoli truffe, messe in atto da hacker che si approfittano di acquirenti frettolosi e poco accorti alla ricerca di buoni affari. L’obiettivo è quello di rubare le loro informazioni finanziarie attraverso una dinamica nota come ‘phishing‘. Come difendersi?

Da Check Point arrivano sei campanelli d’allarme da tenere d’occhio per riconoscere una truffa durante la lunga stagione degli acquisti online tra novembre e dicembre:

  • sconti troppo belli per essere veri che attirano gli utenti invitandoli a compilare i propri dati personali e bancari, rimandando anche a falsi siti;
  • siti falsi che imitano i portali di shopping popolari come Alibaba e Amazon;
  • strane forme di pagamento come vaglia, bonifici bancari o carte e buoni prepagati;
  • false restituzioni e false procedure di reso che conducono a un sito web copia del sito ufficiale;
  • politica di non restituzione e mancanza di una politica sulla privacy, compresi i termini e le condizioni e i dettagli per la risoluzione delle controversie;
  • informazioni sul venditore sconosciute.

Per evitare di essere truffati è fondamentale mettere in pratica queste semplici strategie:

  • evitare reti Wi-Fi non protette;
  • ricercare simboli di sicurezza come un certificato SSL;
  • controllare la validità del sito cercando in un database di siti falsi;
  • utilizzare solo metodi di pagamento sicuri
  • utilizzare una carta di credito o un conto PayPal per gli acquisti
  • non effettuate acquisti impulsivi
  • identificare il venditore anche effettuando una ricerca su Google per verificare la validità dei dati di contatto;
  • cercare sempre una politica di restituzione
  • utilizzare un software di sicurezza che include una funzione anti-phishing.

Sicurezza email: reagire subito è il segreto

Uno dei modi più diffusi dai cybercriminali per attaccare un’azienda è l’email, questo ha portato ad una maggiore attenzione nei riguardi di allegati e ricezioni sospette ma i tempi di risposta ad eventuali attacchi sono oggi ancora troppo lenti.

Una recente ricerca Barracuda ha dimostrato come un’azienda impieghi in media tre ore e mezza per rimediare, fino ad arrivare a più di sei ore per l’11% delle aziende analizzate.

La lunghezza dei tempi deriva dal fatto che si utilizzano metodi manuali, laddove l’automazione può invece fare di più e meglio, facendo risparmiare tempo al comparto IT e permettendo di rivolgersi a problematiche più importanti, come la formazione dei dipendenti, la gestione delle patch di sicurezza o l’analisi delle email per verificare eventuali contenuti dannosi.

Gli esperti ricordano i tre consigli essenziali per gestire una risposta immediata ad eventuali attacchi.

  1. Il primo è la prevenzione, tramite scansione delle caselle aziendali a caccia di eventuali e-mail dannose. Ciò aiuterà anche a conoscere le vulnerabilità esistenti nel sistema di posta elettronica e ciò che deve essere esaminato e risolto.
  2. Il secondo è di introdurre una protezione delle anomalie e contro il phishing in tempo reale grazie all’intelligenza artificiale.
  3. Infine bisognerebbe puntare su una soluzione automatizzata per la pulizia rapida di tutte le minacce individuate nelle caselle di posta degli utenti, e rendere la riparazione più efficiente per tutti i messaggi futuri.

Attacchi via PEC: linee guida per difendersi

Recentemente, gli utenti di Posta Elettronica Certificata hanno iniziato a subire dei tentativi di truffe o attacchi informatici Probabilmente, ad attirare l’attenzione dei cyber criminali è l’enorme diffusione della PEC in Italia, che conta oltre 10 milioni e mezzo di caselle attive, con quasi 430 milioni di messaggi scambiati registrati nel bimestre marzo-aprile 2019 (fonte AgID).

Come si legge in una nota di Assocertificatori, alla base di ogni campagna c’è l’utilizzo di una Botnet, ossia una rete di PC e dispositivi vari compromessi da virus, che diventano – spesso all’insaputa dei loro utilizzatori – veicolo di attacchi malware o phishing, ossia l’invio di email ingannevoli che, nella maggior parte dei casi, hanno l’obiettivo di carpire i dati di carte di credito o le credenziali di accesso a siti di ecommerce/home banking.

 

Questo genere di fenomeni interessa indistintamente privati, aziende e professionisti. Per questo motivo, i Gestori PEC sono impegnati attivamente nell’analizzare gli attacchi in corso e nell’attuare ogni operazione tecnica necessaria a contrastare tali crimini. All’interno di tale scenario diventa fondamentale l’informazione, l’educazione e il supporto agli utilizzatori delle caselle di Posta Elettronica Certificata.

Per questa ragione Assocertificatori ha voluto indicare le principali azioni da intraprendere qualora si sia vittime di un attacco di questo tipo. Infatti, un ruolo importante nella lotta a fenomeni come phishing e malware lo ricoprono i titolari delle caselle PEC che dovrebbero adottare alcune buone norme di sicurezza.

  • Modificare le password almeno ogni trimestre;
  • Dotarsi di un software antivirus accertandosi che questo sia sempre attivo e sia attiva la funzionalità di aggiornamento automatico;
  • Eseguire periodicamente una scansione antivirus della propria postazione/dispositivo e degli allegati che si intende aprire;
  • Accertarsi che la funzionalità “Aggiornamenti Automatici” del proprio sistema operativo sia attiva, in modo da garantire l’automatica applicazione delle correzioni di sicurezza disponibili;
  • Non cliccare su link se non si è sicuri della loro provenienza;
  • Non scaricare gli allegati provenienti da mittenti sconosciuti;
  • Non eseguire le macro dei documenti Microsoft Office;
  • Diffidare da comunicazioni che richiedono l’esecuzione di azioni urgenti, credenziali di accesso o altre informazioni sensibili (ad esempio istituti di credito e provider non chiedono di inserire dati sensibili all’interno di form online);
  • In caso di dubbi verificare su internet o sul sito https://www.cert-pa.it gli attacchi e i rischi in corso sul servizio PEC.

Nel caso in cui si sia cliccato su un link di dubbia provenienza, si siano fornite informazioni personali o si ritenga di essere stati infettati da un malware, è consigliabile intervenire tempestivamente sui dispositivi utilizzati per l’accesso alla casella PEC effettuando tutte le verifiche ed operazioni tecniche necessarie e notificare tempestivamente al proprio Gestore l’accaduto. I singoli gestori valuteranno le azioni da intraprendere presso le opportune sedi competenti a tutela dei propri clienti.

Author: Antonello

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.