Sicuramente conoscete il phishing (pescare in inglese), una tecnica per l'acquisizione di informazioni mediante l'invio di e-mail o la richiesta di cliccare su link; tale tecnica ha il mero scopo di acquisire più informazioni possibili su una probabile vittima e convincerla a cliccare su un link, che scarica uno spyware con il compito di prelevare, silente, tutte le informazioni presenti sul computer di casa, sul proprio smartphone e trafugare denaro.
Le tecnica di phishing si declina poi, in smishing, e vishing; un'idea pratica di che cosa si tratta il smishing, l'ho già esposta nel mio post : "Ti prego, non cliccare su quel messaggio !",
ma che cosa si identifica il vishing ? Nel vishing (dall'unione di "voice" e "phishing") le vittime vengono indotte verbalmente, di solito per telefono, a compiere azioni che "ritengono essere nel loro interesse" (tenete sempre bene a mente questa frase).
Ed ecco, che leggo da internet "Deepfake del CEO di Ferrari tenta di truffare un dirigente" (https://ainews.it/deepfake-del-ceo-di-ferrari-tenta-di-truffare-un-dirigente/): premesso che si tratta di una truffa tentata con l'uso di AI (intelligenza artificiale), e quindi molto sofisticata e rara, è comunque un caso molto interessante per mettervi sul "chivalà" in merito alla tecnica in parola perché, oltretutto, è molto difficile da individuare e a volte bisogna sapere muoversi meglio di un "elefante in un negozio di cristalli..."
Tenete, comunque, conto che in genere la tattica è quella di mettervi sotto pressione, con minacce e continuando a chiedervi informazioni confidenziali al telefono, ma:
raramente, e se accade bisognerebbe segnalarlo al proprio superiore, si chiedono e richiedono account e password e dati confidenziali al telefono;
se avete la fortuna di conoscere l'interlocutore, chiedetegli qualcosa che vi riguarda;
chiedete di inviarvi una e-mail di conferma (ovviamente, poi, eseguite i controlli in merito all'e-mail ricevuta; leggete anche gli altri miei post in merito al riconoscimento delle e-mail fasulle, link a piè di pagina): questo "mood" vi dà molti punti a favore, perché, nel caso non fosse un vishing, avrete sempre l'attenuante di "utilizzare tutte le precauzioni necessarie per proteggere il vostro lavoro !"
in casi estremi: simulate una caduta di linea telefonica o una chiamata urgente su altro telefono
Per concludere, ritengo sia utile, per la cybersicurezza dell'azienda o per la propria sicurezza digitale personale, impartire FORMAZIONE - FORMAZIONE, come, per esempio
su alcune misure da seguire sempre:
non dare MAI informazioni personali corrette ad estranei, anche a simpatiche giovani persone, che stanno effettuando una sedicente "ricerca di mercato" con "ricchi premi e cottillons" al supermarket. I vostri dati sono preziosi ed hanno un valore immenso, li dareste via per niente ? O per la vaga probabilità di essere estratti, forse, e vincere una sedicente lotteria ?
non introdurre dati personali identificativi in quei siti tipo "ricerca dell'anima gemella" o simili, ma mistificarli (per esempio il mio vero nome e cognome, indirizzo e-mail, numero di telefono, etc...).
Quelli sopra sono sistemi utilizzati dal "social engineering" per l'acquisizione di dati personali per orchestrare (poi) un'attacco massiccio puntuale e mirato difficilmente identificabile. (E' il caso del malaware copybara di cui invito leggere l'articolo di Red Hot Cyber https://www.redhotcyber.com/post/copybara-il-malware-che-prende-di-mira-il-banking-italiano/)
Comentários