Nel primo trimestre del 2018, le tecnologie anti-phishing di Kaspersky Lab hanno impedito più di 3,7 milioni di tentativi di visitare siti di social network fraudolenti, di cui il 60% erano false pagine Facebook.
Il phishing nei social network è una forma di criminalità informatica che comporta il furto di dati personali dall’account della vittima in un social network. Il truffatore crea una copia dell’account del social network e tenta di attirare vittime ignare, costringendole a fornire informazioni personali quali nome, password, numero di carta di credito e PIN.
All’inizio di quest’anno, Facebook era il brand più popolare di social network per l’abuso da parte di truffatori e criminali informatici che, spesso, falsificavano la pagina di quel social network per cercare di rubare dati personali attraverso attacchi di phishing.
Questo fa parte di una tendenza a lungo termine: nel primo trimestre del 2017, Facebook è diventato uno dei tre obiettivi principali per il phishing in generale, con quasi l’8%, seguito da Microsoft Corporation (6%) e PayPal (5%).
Nel primo trimestre del 2018, Facebook ha anche guidato la categoria dei social media phishing, seguita da VK, un servizio di social networking online russo e LinkedIn. La ragione più probabile per questo è che ci sono 2.130 miliardi di utenti mensili attivi su Facebook, compresi quelli che accedono ad applicazioni sconosciute usando le credenziali del social network, che dà loro accesso ai loro account. Ciò rende gli utenti ignari di Facebook un obiettivo redditizio per gli attacchi di phishing da parte dei criminali informatici.
Tutto ciò rafforza il fatto che i dati personali sono preziosi nel mondo della tecnologia dell’informazione, sia per le organizzazioni legittime che per gli aggressori. I criminali informatici sono costantemente alla ricerca di nuovi metodi per avere successo nei loro attacchi agli utenti. Quindi, è importante conoscere le tecniche fraudolente ed evitare di diventare il prossimo obiettivo. Ad esempio, la tendenza più recente è costituita da e-mail indesiderate correlate al GDPR (Regolamento generale per la protezione dei dati in Europa). Gli esempi includono offerte di webinar (seminari sul web) pagati per chiarire la nuova legislazione o inviti a installare software speciali che forniranno accesso alle risorse online e in tal modo garantire la conformità con le nuove regole.
“Il continuo aumento degli attacchi di phishing, rivolti sia ai social network sia alle organizzazioni finanziarie, dimostra che gli utenti dovrebbero prestare maggiore attenzione alle loro attività online. Nonostante i recenti scandali globali, le persone continuano a cliccare su collegamenti non sicuri e danno il permesso ad applicazioni sconosciute di accedere alle loro informazioni personali. A causa di questa mancanza di sorveglianza da parte dell’utente, i dati di un gran numero di account vengono persi o utilizzati per estorcere utenti. Questo può portare ad attacchi e un flusso costante di denaro per i criminali informatici“, ha spiegato Nadezhda Demidova, principale analista di contenuti web per Kaspersky Lab.
Come difendersi
Gli esperti di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure per proteggersi dal phishing:
- Verificare sempre l’indirizzo del link e l’e-mail del mittente prima di fare clic su qualsiasi cosa; meglio ancora, non cliccare sul link, ma scrivere direttamente l’indirizzo nel browser. Prima di fare clic su qualsiasi collegamento, verificare che l’indirizzo del collegamento visualizzato sia lo stesso del collegamento ipertestuale effettivo (l’indirizzo effettivo a cui il collegamento vi porterà): questo può essere verificato spostando il mouse sopra l’indirizzo.
- Utilizzare solo una connessione sicura, soprattutto quando si visitano siti Web riservati. Come precauzione minima, non utilizzare Wi-Fi sconosciuto o pubblico senza una password di protezione. Per la massima protezione, utilizza le soluzioni VPN che crittografano il traffico. E ricorda: se usi una connessione non sicura, i criminali informatici possono reindirizzare in modo invisibile alle pagine di phishing.
- Verifica la connessione HTTPS e il nome del dominio quando apri una pagina web. Ciò è particolarmente importante quando si utilizzano siti Web che contengono dati sensibili, ad esempio portali per transazioni bancarie online, negozi online, e-mail, social network e altro.
- Non condividere mai le tue informazioni riservate, come i nomi di accesso e le password, i dati delle carte di credito con una terza parte. Le aziende non chiederanno mai informazioni come questa via email.
- Utilizzare una soluzione di sicurezza affidabile con tecnologie anti-phishing basate sul comportamento, come Kaspersky Total Security, per rilevare e bloccare gli attacchi di spam e phishing.