Le misure di phishing stanno diventando sempre più necessarie poiché gli hacker tentano ogni giorno di rubare informazioni personali e fondi online.
Secondo un recente rapporto di Scam Sniffer, a febbraio circa 57.000 vittime hanno subito perdite per circa 47 milioni di dollari a causa di truffe di crypto phishing. Hanno sottolineato che "la maggior parte delle vittime è stata attirata verso siti Web di phishing attraverso commenti di phishing provenienti da account Twitter imitati".
Pertanto, per evitare di cadere nelle mani di truffatori, è necessario essere in grado di riconoscere il phishing e sapere come proteggere se stessi e i propri soldi. In questo articolo ne discuteremo in dettaglio.
Ultimo attacco hacker agli scambi
La società di sicurezza informatica Lookout ha annunciato la divulgazione di un nuovo strumento di phishing chiamato CryptoChameleon. Questo strumento dimostra una nuova tattica mirata ad alcuni scambi di criptovaluta come Binance, Gemini, Coinbase e alla Federal Communications Commission (FCC) degli Stati Uniti tramite telefoni cellulari. Gli aggressori possono creare copie delle pagine Single Sign-On (SSO) e quindi utilizzare una combinazione di e-mail e chiamate vocali per ottenere i dati degli utenti.
Il rapporto rileva che CryptoChameleon ha attaccato i dipendenti della Federal Communications Commission e Binance. Inoltre, sono stati colpiti gli utenti di Binance, Gemini, ShakePay e altri scambi. CryptoChameleon utilizza numeri di telefono e siti Web che sembrano legittimi e rappresentano il servizio di supporto dell'azienda in Gmail, iCloud, Outlook, X e altri servizi.
Lookout ha riferito di essere riuscita a parlare con alcune delle vittime e di confermare che una combinazione di telefonate e messaggi è stata utilizzata per costringere la vittima a completare il processo.
“In uno scenario, una vittima ha ricevuto una telefonata non richiesta che ha falsificato la linea di assistenza clienti di una vera azienda. La persona dall'altra parte della linea era l'autore della minaccia, ma sembrava un membro del team di supporto di quell'azienda."
Gli hacker hanno informato l'utente che il suo account era stato violato, ma lo avrebbero aiutato a ripristinarlo. Durante una conversazione telefonica con la vittima, gli aggressori inviavano un messaggio che reindirizzava a una pagina di phishing.
L’analisi dell’azienda ha rivelato più di 100 tentativi di phishing riusciti e attività di phishing in corso, principalmente su Hostwinds, Hostinger e server RetnNet russi. La stragrande maggioranza delle vittime si trova negli Stati Uniti.
Come riconosco il phishing?
L'obiettivo principale del phishing è ottenere informazioni riservate sugli utenti.
Gli aggressori inviano comunemente e-mail con collegamenti dannosi per conto di siti Web o scambi. Questi possono essere avvisi di sicurezza, pirateria informatica, vari sondaggi, ecc. I truffatori di solito sottolineano l'urgenza dell'azione o attirano l'attenzione offrendo una grossa ricompensa per la partecipazione.
Segni che potrebbero indicare che l'e-mail è fraudolenta:
Il messaggio utilizza sottodomini e URL con errori di ortografia
Il messaggio è scritto in un modo che instilla paura o un senso di urgenza.
L'e-mail ti chiede di confermare informazioni personali, come informazioni finanziarie o una password.
Il messaggio è scritto in modo analfabeta e contiene errori di ortografia e grammaticali.
Esistono altri metodi di verifica utilizzati da aziende come Binance, WhiteBIT e KuCoin, che offrono un ulteriore modo per verificare l'autenticità di un'e-mail con la funzione Anti-Phishing. Dopo averlo attivato, l'utente deve inserire un codice personalizzato che segnalerà che l'e-mail proviene da queste aziende. Dopo aver salvato il codice, ogni volta che l'utente riceve un'e-mail tecnica dagli scambi, conterrà questo codice.
Come evitare le truffe di phishing?
Utilizza password complesse e abilita l'autenticazione a due fattori: utilizza una password complessa e univoca per tutti gli account. Non scriverli in un luogo facilmente accessibile e non condividerli con altri. Per archiviare e gestire password complesse, è meglio utilizzare un gestore di password, come 1Password, LastPass, Dashlane e altri. Abilita l'autenticazione a due fattori per tutti gli account per fornire un ulteriore livello di sicurezza. Per fare ciò, puoi installare un'app 2FA sul tuo telefono, come Google Authenticator, Authy, 2FAS, ecc.
Non ignorare le notifiche di aggiornamento: le patch e gli aggiornamenti di sicurezza vengono rilasciati principalmente per affrontare le attuali tecniche di attacco informatico, colmando le lacune di sicurezza. Imposta l'aggiornamento automatico del software per evitare nuove minacce.
Controlla l'indirizzo del sito web prima di inserire le tue informazioni: l'URL di una pagina può spesso differire dal dominio per una singola lettera e talvolta per le maiuscole e minuscole. Ad esempio, 1-l, I-l (“i” maiuscola e “l” minuscola). Inoltre, non è consigliabile inserire password e accessi su siti Web senza HTTPS (l'icona di un lucchetto accanto) — protegge la connessione e crittografa i dati.
Non fare clic su collegamenti sospetti: comunemente, i truffatori utilizzano collegamenti per vincere milioni di dollari o regali come esca. Pertanto, non fare clic su tali collegamenti e controlla sempre tutti i concorsi a premi e gli eventi aziendali attuali.
Riepilogo
Comprendere gli schemi di phishing e i loro segnali è la cosa più importante nella lotta contro questo tipo di frode.
Sapendo come riconoscere gli attacchi dannosi e quali metodi utilizzano gli aggressori, gli utenti possono proteggere meglio i propri dati personali. Inoltre, seguendo le raccomandazioni di cui sopra, è possibile ridurre la probabilità di furto.\