Il Chief Security Officer di WatchGuard Technologies, Corey Nachreiner, ha rilasciato alcuni consigli di sicurezza in occasione dei prossimi Black Friday e Cyber Monday
Ogni volta che si verifica un evento importante – una ricorrenza, un fatto tragico, una festività o una vendita al dettaglio molto pubblicizzata – i criminali informatici si fanno avanti per cercare di sottrarti soldi. Questo perché, grazie all’attenzione che si genera attorno a questi momenti, riescono a crearsi una copertura e ad attivare un’esca allettante per attrarre nuove vittime.
Gli eventi annuali del Black Friday e del Cyber Monday, che hanno avuto origine negli Stati Uniti, sono diventati sempre più un fenomeno globale. Con offerte “super scontate” per dare il via alla stagione dello shopping natalizio, intorno a queste due ricorrenze si genera un numero enorme di transazioni. Per questo motivo, i criminali informatici approfittano della frenesia degli utenti che sperano di trovare le migliori offerte online, associando all’aumento delle pubblicità dei venditori un aumento delle proprie campagne malevole.
Il WatchGuard Threat Lab non si aspetta molti nuovi attacchi unici per il Black Friday/Cyber Monday di quest’anno, ma prevede un ritorno dei “classici”. Occorre quindi restare vigili. Anno dopo anno, molte delle stesse truffe e tattiche usate in passato durante il Black Friday e il Cyber Monday riescono ancora a catturare nuove vittime.
Truffe e tecniche “sempreverdi”
- Truffe del “pacco in arrivo” – Molto probabilmente hai già ricevuto una delle false notifiche di consegna nella tua casella di posta elettronica o nelle app di messaggistica. Sono disponibili in molte varietà e pretendono di essere comunicazioni legittime da FedEx, UPS o altre note società di spedizioni: nel testo si dice che un pacco non può essere consegnato o che sono disponibili nuove informazioni sullo stato della consegna o sul tempo di arrivo stimato di un ordine in transito. Naturalmente, il pacco non esiste, né c’è una consegna in arrivo. In realtà, questi messaggi provengono da attaccanti opportunisti che sfruttano il fatto che durante la stagione dello shopping natalizio molti di noi si aspettano o hanno pacchi in arrivo. Sperano che l’utente sia troppo occupato o troppo elettrizzato dalla prospettiva di un regalo in arrivo per notare un testo scritto con una grammatica incerta o con errori di ortografia, o con un indirizzo email del mittente insolito prima di fare clic sul link malevolo contenuto nell’e-mail. Cliccando su quel link si dà la possibilità all’attaccante di rubare le proprie credenziali e altri dati sensibili.
- Ordini fasulli – Così come per le notifiche di consegna fasulle, potresti ricevere e-mail che sembrano provenire da fornitori noti e che parlano di un ordine che non ricordi nemmeno di aver fatto. Se non hai effettuato un ordine, non fare clic sul link contenuto nell’email o nell’SMS. Vai, invece, direttamente al sito Web del fornitore o chiamalo per verificare di persona.
- Truffe sulle “gift card” – Consiglio spesso alle persone di effettuare acquisti online con forme di pagamento alternative diverse dalle loro carte di debito e di credito personali… ma le gift card NON sono una di queste! Se un venditore ti chiede di pagare con una carta regalo, chiedendoti di acquistarne una e quindi di utilizzare il numero assegnato per completare l’acquisto, abbandona subito quel venditore. Può essere sorprendente che questa truffa funzioni ancora, eppure è un ottimo mezzo per chi vuole rubarti del denaro senza farsi intercettare dalle forze dell’ordine.
- Falsi enti di beneficenza – Molte persone aumentano le loro donazioni caritatevoli durante le vacanze. Anche in questo caso i truffatori cercano di approfittarne, chiedendo denaro tramite false e-mail di beneficenza a individui ben intenzionati a fare donazioni reali. Per assicurarti di dare effettivamente i tuoi soldi a una causa legittima e degna, assicurati di verificare bene i link dove stai facendo una donazione e verifica che l’organizzazione senza scopo di lucro a cui ti stai interessando sia un’organizzazione valida prima di donare.
- Siti Web contraffatti – Tieni d’occhio i siti di e-commerce falsi e/o simili che compaiono durante questo periodo dell’anno, specialmente quelli con offerte che sembrano essere “troppo belle per lasciarsele sfuggire”. Non è difficile per un criminale informatico creare un sito Web mascherato da negozio online, anche uno protetto da SSL/TLS (il piccolo lucchetto che appare nel browser Web per indicare un sito sicuro). Potrebbe sembrare “ufficiale”, ma non garantisce che sarai in grado di effettuare un acquisto legittimo. Se ti trovi su un sito web sconosciuto, assicurati di utilizzare il Better Business Bureau (BBB) o un altro verificatore di reputazione online per controllare che sia un commerciante legittimo e affidabile prima di acquistare qualcosa.
- Phishing mediocre – Nei giorni che precedono il Black Friday e il Cyber Monday, oltre alle truffe relative allo shopping online, puoi sicuramente aspettarti una gran quantità di e-mail di phishing nella tua casella di posta. Certamente durante questo periodo riceverai molta corrispondenza legittima dai venditori con le loro offerte, ma assicurati di fare attenzione ai messaggi falsi che tenteranno di ingannarti col phishing usando le solite tattiche sempreverdi.
Suggerimenti di sicurezza
Le truffe che si verificano sul Web in questo periodo dell’anno potrebbero scoraggiare alcune persone nel fare acquisti online, ma ciò non deve accadere. Con alcuni suggerimenti di buon senso e le migliori pratiche in atto, puoi riconoscere ed evitare questi inganni e approfittare di tutte le offerte reali nel Web, facendo affari prima delle festività natalizie. Ecco alcuni suggerimenti di sicurezza per evitare le truffe informatiche durante il Black Friday e il Cyber Monday:
- Fai attenzione ai link sospetti: se in un’e-mail strana e sconosciuta ti viene inviato un link o vieni reindirizzato a un collegamento, controllalo sempre prima di fare clic. Su un computer puoi farlo passando il mouse sul link per visualizzare in anteprima l’URL a cui indirizza e assicurarti quindi che sia il dominio effettivo e, soprattutto, legittimo. Ad esempio, se l’e-mail proviene da Amazon, dovresti vedere “amazon.com” nell’anteprima del dominio, non una sua variante strana. I dispositivi mobile non ti consentono di passare il mouse sui link, quindi, per verificare i collegamenti puoi tenere premuto un link per visualizzare in anteprima il dominio prima di cliccarlo. Basta assicurarsi che l’opzione di anteprima del telefono sia abilitata, altrimenti visiterà il link prima che tu riesca a fare le verifiche del caso. Meglio ancora, non fare clic sul collegamento nel messaggio. Visita digitando manualmente il sito eCommerce. È probabile che la vendita sia comunque una notizia in prima pagina su quel sito in questo momento.
- Utilizza metodi di pagamento online alternativi – Non utilizzare la carta di credito o di debito che usi abitualmente per effettuare acquisti online. Se inserisci accidentalmente quei dettagli in un sito non sicuro, il cyber truffatore che si cela dietro di esso potrebbe rubarti più soldi di quanto credi. Servizi come Apple Pay e PayPal consentono transazioni sicure tra acquirenti e venditori astraendo i dettagli effettivi del conto finanziario degli utenti dai pagamenti online. Ottenere una carta di credito temporanea per effettuare acquisti online può anche essere un’opzione più sicura, ma diffida di chiunque richieda di pagare con, ad esempio, una carta regalo Visa.
- Acquista solo da siti Web sicuri: cerca il lucchetto nell’angolo in alto a sinistra del tuo browser web. Ciò significa che tutte le tue transazioni da e verso quel sito Web sono crittografate. Non effettuare pagamenti a siti che non hanno quel lucchetto. Detto questo, sappi che anche i criminali possono creare pagine Web sicure. Quindi non considerare il lucchetto come una garanzia assoluta di un sito legittimo: usalo solo per chiudere i siti che non lo mostrano perché con questi non dovresti effettuare transazioni poiché non usano la crittografia.
- Gestori di password – Molte di queste truffe legate allo shopping online hanno la finalità di rubare le credenziali di accesso degli utenti. Se utilizzi un gestore di password, il furto di credenziali ha un impatto minore perché la stessa password non viene utilizzata per tutti i tuoi account e, quando hai una credenziale rubata da un sito, puoi facilmente aggiornarla molto più velocemente.
- Abilita l’autenticazione a due o più fattori (2FA/MFA), se supportata – Parlando di furto di credenziali, la MFA è il modo migliore per proteggersi da questa eventualità e ti salva anche se un utente malintenzionato riesce ad ottenere la tua password. Non tutti i siti di e-commerce supportano la MFA, ma tutti i siti principali, come Amazon, lo fanno. Se il sito supporta 2FA o MFA, dovresti assolutamente sfruttarla e continuare a usarla in futuro.
- Se sembra troppo bello per essere vero, probabilmente è falso – Conosci questo suggerimento. Se l’affare sembra troppo bello per essere possibile, probabilmente hai ragione. Potrebbe essere una truffa. Evitalo.
- Controlla i nuovi siti utilizzando risorse di protezione dei consumatori – Durante i periodi di shopping stagionale compaiono siti falsi. Se stai per acquistare qualcosa da un sito nuovo di zecca che non hai mai visitato prima, dedica almeno un minuto per controllare la sua reputazione prima di procedere. Negli Stati Uniti, il Better Business Bureau è un buon punto di partenza, ma puoi trovare anche altri servizi di controllo della reputazione online e siti di recensioni degli utenti come riferimento.
- Fai attenzione al malvertising – Una truffa informatica più difficile da decifrare è il malvertising. Si verifica quando un utente malintenzionato sfrutta servizi e framework pubblicitari completamente legittimi per attirare le persone verso collegamenti malevoli o truffaldini. A volte i primi dieci risultati per i termini di ricerca dei prodotti più diffusi possono restituire link generati da malvertising che indirizzano a siti che potrebbero tentare di mettere in atto del phishing o installare software malevolo sul tuo dispositivo. In breve, resta sempre scettico nei confronti di annunci strani e cerca di fidarti dei fornitori che conosci. Se noti comunque un affare che sembra essere eccessivamente conveniente per un prodotto ben noto, controlla la pagina di prodotto del fornitore effettivo per verificarne la legittimità. Se quell’affare non sembra esistere da nessun’altra parte nel sito del fornitore, probabilmente dovresti semplicemente evitare quell’annuncio.
In sintesi, molte delle difese di sicurezza informatica più efficaci consistono nell’adottare un approccio scettico e interrogativo per verificare ogni aspetto prima di fidarsi completamente. Se segui questi semplici consigli di difesa non dovresti avere problemi, e potrai risparmiare approfittando delle vere offerte di questo nuovo Black Friday/Cyber Monday.