29.06.2021 - Il numero di segnalazioni giunte all’NCSC la scorsa settimana è nella media rispetto alle altre settimane. Sono degni di nota le segnalazioni concernenti una truffa del CEO, in cui l’account e-mail del CEO sembra effettivamente essere stato hackerato, e quelle relative a e-mail di phishing che in un secondo momento sono risultate legittime.
Truffa del CEO – a volte anche con account e-mail hackerato
Nella truffa del CEO, di solito viene inviata un’e-mail fraudolenta alla divisione finanziaria di un’azienda in cui il presunto capo ordina di eseguire un pagamento urgente. I truffatori raccolgono le informazioni necessarie ad esempio sui siti web dell’azienda presa di mira, dove sono elencati i nomi e le funzioni dei collaboratori. L’NCSC ha riferito di questo tipo di truffa nella retrospettiva della settimana 20. Generalmente l’indirizzo e-mail del presunto CEO è finto. L’e-mail sembra inviata dall’account del capo, ma se si guarda bene è evidente che si tratta di un indirizzo e-mail fasullo. Se risponde all’e-mail, la vittima scrive dunque all’indirizzo del truffatore.
La scorsa settimana all’NCSC sono però stati segnalati due casi in cui si presume che i truffatori siano effettivamente riusciti ad hackerare l’account del capo. A quanto pare le vittime delle aziende truffate hanno risposto all’indirizzo e-mail vero e proprio del loro superiore. Al momento non è ancora chiaro se i truffatori siano davvero riusciti ad accedere all’account oppure se abbiano impostato una regola di inoltro per ricevere automaticamente le e-mail destinate al capo.
In caso di truffa del CEO controllate se per gli account e-mail è stata impostata una regola di inoltro e, per sicurezza, cambiate la password.
Un’e-mail di phishing! ...o no?
All’NCSC è stata segnalata un’e-mail che invita l’utente a rinnovare la registrazione a un portale entro fine giungo. Cliccando sul link contenuto nella mail si apre un sito web che non c’entra niente con l’azienda mittente. Sul sito l’utente è invitato a inserire la vecchia password per poi registrarsi con una nuova. A chi ha segnalato il fatto è sembrato immediatamente un classico tentativo di phishing. Tuttavia, ciò non era il caso.
L’e-mail e la richiesta di rinnovo della registrazione sono davvero state inviate dall’azienda interessata in seguito al cambiamento del fornitore dei servizi di pagamento.
Affinché e-mail come queste non vengano classificate come phishing, un’azienda deve tenere conto di quanto segue:
- inviare le e-mail possibilmente in formato testo;
- evitare di inserire troppi link, ossia limitarsi ai rimandi al proprio dominio, e scrivere per esteso i link (https://www.ncsc.ch);
- non inserire collegamenti diretti a siti web che richiedono il nome utente e la password (o altri dati);
- descrivere la procedura sulla pagina iniziale affinché l’utente possa inserire manualmente l’indirizzo principale dell’azienda e quindi accedere alle informazioni necessarie;
- laddove possibile, personalizzare l’e-mail indicando nome e cognome del cliente.
Un altro caso segnalato la scorsa settimana riguarda un’e-mail in cui l’azienda informa i clienti che avrebbero la possibilità di ottenere un omaggio. Cliccando sul link appaiono diversi omaggi, tra cui anche un cellulare. Dopo aver selezionato uno dei regali, appare una pagina di registrazione che chiede il login del cliente compresa la password. Anche qui la truffa sembra palese. Invece non si tratta di phishing nemmeno in questo caso: l’e-mail è stata effettivamente inviata dall’azienda interessata.
Per rendere il riconoscimento delle mail di phishing più semplice, basta osservare alcune regole. I punti principali da ricordare sono due:
- le aziende non chiedono mai la password dei clienti tramite e-mail, telefono, SMS o i social;
- non inserite mai dati personali in moduli che si aprono dopo aver cliccato su un link ricevuto per e-mail.
I casi menzionati rendono gli utenti di Internet insicuri e hanno un effetto negativo sulla loro sensibilizzazione. Perciò l’NCSC raccomanda alle aziende di tenere presenti le regole summenzionate.
Infine l’NCSC tiene a specificare che le persone che hanno segnalato i casi di phishing hanno agito correttamente. La prudenza non è mai troppa! In caso di dubbi è possibile rivolgersi direttamente all’azienda oppure all’NCSC.
Statistiche attuali
Segnalazioni della scorsa settimana per categoria
Segnalazioni a settimana negli ultimi 12 mesi
Ultima modifica 29.06.2021
