Un quiz realizzato da Intel Security evidenzia forti difficoltà nel distinguere le email legittime dal phishing

Forte crescita degli attacchi Account Takeover

Gli utenti sono capaci a capire se una mail ricevuta è reale oppure se si tratta di un tentativo di attacco di phishing? No. A rivelarlo una recente ricerca di Intel Security volta proprio a testare la conoscenza e l’abilità degli utenti nel riconoscere questo tipo di minacce. È stato realizzato un quiz composto da 10 mail realizzate dalla compagnia di sicurezza che dovevano essere giudicate (vere o fasulle) dai 19 mila partecipanti coinvolti. Il risultato? solo il 3% è stato in grado di identificare correttamente tutti e 10 gli esempi, mentre l’80% non ha identificato almeno una email di phishing, una condizione sufficiente per cadere vittima di un attacco.

I truffatori informatici usano il phishing per indirizzare gli utenti verso sti web appositamente realizzati per rubare loro dati personali. Con l’inganno fanno digitare loro nome, indirizzo, dati di login, password e dettagli della carta di credito su siti che sembrano quelli di enti o aziende legittime. In alcuni casi, anche solo cliccando sul link inserito nell’email il malware viene scaricato automaticamente sul dispositivo dell’utente. E, una volta installato, gli hacker possono facilmente rubare le informazioni a insaputa della vittima.

A livello globale, i risultati migliori sono stati dati dal gruppo di età 35-44, che ha risposto esattamente in media al 68% delle domande. Inoltre, le donne di meno di 18 anni e di più di 55 sembrano avere più difficoltà nel distinguere tra email legittime e false, individuando correttamente sei messaggi su dieci. Nel complesso, gli uomini hanno dato risposte un po’ più corrette rispetto alle donne, con un tasso di precisione del 67% a fronte del 63% tra le donne.

I più a rischio? Gli Stati Uniti

Dei 144 paesi inclusi nella ricerca, gli Stati Uniti si sono classificati al 27esimo posto, con il 68% di accuratezza nel rilevare il phishing. I cinque paesi con i migliori risultati sono stati Francia (1), Svezia (2), Ungheria (3), Paesi Bassi (4) e Spagna (5).

Anche i messaggi di posta elettronica legittimi possono essere ingannevoli

È interessante notare che dal sondaggio è emerso che l’email più spesso erroneamente identificata era in realtà un’email legittima. Si trattava di un’email che suggeriva al destinatario di richiedere “i propri annunci gratuiti.” Spesso si associano offerte a premi gratuiti con il phishing o lo spam e probabilmente è stato questo il motivo per cui un gran numero di persone ha identificato erroneamente questo messaggio.

“Spesso il phishing sembra provenire da siti credibili, ma è progettato per ingannare l’utente e spingerlo a condividere le proprie informazioni personali – ha dichiarato Gary Davis, Chief Consumer Security Evangelist di Intel Security – E’ bene osservare sempre con attenzione le email e controllare gli indizi tipici di phishing, tra cui grafica scarna ed errori di grammatica, o altri indizi che potrebbero indicare che la mail è stata inviata da un truffatore”.

Cosa fare per proteggersi:

  • Mantenere il software di sicurezza e il browser aggiornati
  • Passare con il mouse sopra i link per accorgersi subito quando sono falsificati; verificare che un collegamento inserito nel testo conduca esattamente al sito che propone di essere
  • Prendersi del tempo per controllare le email, alla ricerca di segnali di pericolo: parole non corrette, URL errati, immagini non professionali e sospette e mittenti non riconosciuti
  • Invece di fare clic su un link fornito in un’email, visitare il sito web della società che avrebbe dovuto essere il mittente dell’email per assicurarsi che l’affare pubblicizzato sia presente anche sulla home page o sul sito del rivenditore

Cosa NON fare:

  • NON fare clic su un link in un’email inviata da mittenti sconosciuti o sospetti
  • NON inviare un’email che sembra sospetta ad amici o parenti, un atteggiamento poco prudente che potrebbe trasmettere un attacco di phishing ai propri cari inconsapevoli
  • NON scaricare il contenuto che il browser, o l’avviso del software di sicurezza, indicano come dannoso
  • NON immettere informazioni personali come il numero della carta di credito, l’indirizzo di casa o il numero di previdenza sociale su un sito o rispondendo a un’email che si ritiene sospetta.