In questo 8 ottobre, 2019, file foto una donna digita su una tastiera a New York. Le truffe di phishing che infettano un computer e potenzialmente consentono agli hacker di invadere conti bancari e altri conti sono altamente prevenibili, ma ci vuole un'eterna vigilanza da parte degli utenti di computer. (Foto AP/Jenny Kane, File)
L'e-mail sembrava legittima, così Danielle Radin ha cliccato sul link che conteneva, aspettandosi di avere i suoi prodotti inclusi in una guida ai regali per le feste.
"Me ne sono pentito subito, "dice Radin, proprietario di Mantra Magnets, un sito web che vende prodotti per il benessere. "Mi ha portato a un sito Web casuale che sembrava quei pop-up che ti dicevano che hai vinto alla lotteria."
Entro pochi giorni da quel clic di tre settimane fa, Radin ha iniziato a ricevere notifiche che le persone in Ecuador, La Cina e altrove stavano cercando di accedere al suo account di posta elettronica. Non era sorpresa; sapeva che la sua piccola impresa con sede a San Diego era stata l'obiettivo di una truffa di phishing.
Mentre i criminali informatici colpiscono in qualsiasi momento dell'anno, sono particolarmente attivi durante le festività e le stagioni della dichiarazione dei redditi quando gli utenti di computer si aspettano di vedere più e-mail e i truffatori prendono sempre più di mira le singole piccole imprese con truffe di phishing, inviare messaggi che sembrano legittimi ma che invece danneggiano. Un proprietario o un dipendente ignaro fa clic su un collegamento o su un allegato e, come Radin, scopre che un software dannoso ha invaso i loro PC.
Gli esperti di sicurezza informatica scoprono che i criminali che erano soliti coprire migliaia di utenti di computer nella speranza di ingannarne una manciata hanno affinato i loro metodi. I truffatori trovano piccole imprese attraverso siti web, siti di social media e pettinando le rubriche di indirizzi e-mail. Estraggono anche dati personali da violazioni presso rivenditori e altre grandi aziende. Quindi, utilizzando un processo chiamato ingegneria sociale, costruiscono email che sembrano sempre più realistiche, come se provenissero veramente da un capo, collega, amico, potenziale cliente o venditore, una banca e persino l'IRS.
"Negli ultimi due anni hanno lanciato campagne più professionali, "dice Perry Toone, proprietario di Thexyz, un fornitore di servizi di posta elettronica con sede a Toronto. "Mi possono volerci un paio di minuti per determinare che si tratta di truffe di phishing. Questo mi dice che stanno facendo un ottimo lavoro."
Radin crede che i truffatori l'abbiano trovata attraverso il suo sito web o un blog. Come molte piccole imprese, ha un indirizzo email sul suo sito, e i truffatori hanno capito che potrebbe essere interessata a vendere tramite una guida ai regali per le vacanze. Ma trovare un obiettivo è una cosa; la truffa non funzionerà a meno che non induca un destinatario di posta elettronica a fare clic. Anche chi è esperto di tecnologia a volte può abbassare la guardia. Radin è stata ingannata anche se è l'autrice di "Tutti sono stati hackerati, "un libro venduto online.
Spesso una truffa ha successo perché c'è solo un briciolo di dubbio in un utente di computer:l'e-mail è abbastanza realistica che un proprietario o un dipendente sente di aver bisogno di leggerla. A volte un membro dello staff scatta per paura o senso di responsabilità, dice Rahul Telang, un professore di sistemi informativi presso l'Heinz College della Carnegie Mellon University.
"Potrebbe non sembrare molto personale, ma hai un'idea che dovresti andare avanti:ti sembra che l'e-mail provenga dal capo, " lui dice.
In questa foto non datata fornita da Danielle Radin, Radin posa per una foto. Mentre i criminali informatici colpiscono in qualsiasi momento dell'anno, sono particolarmente attivi durante le festività e la stagione della dichiarazione dei redditi quando gli utenti di computer si aspettano di vedere più email, e i truffatori prendono sempre più di mira le singole piccole imprese con truffe di phishing, inviare messaggi che sembrano legittimi ma che invece danneggiano. Un proprietario o un dipendente ignaro fa clic su un collegamento o su un allegato e, come Radin, scopre che un software dannoso ha invaso i loro PC. (Danielle Radin via AP)
Gli utenti di computer potrebbero non guardare da vicino come dovrebbero un'e-mail:possono esserci segni sottili che un messaggio è un problema. Terry Cole, proprietario di Cole Informatica, un'azienda il cui lavoro include la sicurezza informatica, ricorda di aver ricevuto un'e-mail che sembrava davvero provenire da un collega. È stato uno dei tanti nel settore a riceverlo.
"Diceva che questo collega mi aveva inviato un messaggio privato sicuro che era pronto per essere letto e includeva un link da cliccare. Questo era assolutamente coerente con le mie normali esperienze di comunicazione con lui, "dice Cole, la cui azienda si trova a Parsons, Tennessee.
Cole in quel caso non ha fatto quello che fa di solito e consiglia a tutti di fare:controlla l'indirizzo email per essere sicuro che sia completamente corretto. Quando ha cliccato sul link, lo ha portato a un sito Web fasullo che affermava di essere collegato a Microsoft e gli chiedeva ID e password. Non è andato oltre e non ha subito danni al suo PC.
Le vacanze offrono ai truffatori ulteriori opportunità:biglietti di auguri inviati per e-mail, avvisi di spedizione del pacco, offerte di sconti, tutte false. I criminali informatici cercano anche informazioni personali da proprietari e dipendenti con il pretesto di aver bisogno di loro per creare un modulo fiscale W-2 o 1099; in questo periodo dell'anno, i pensieri degli imprenditori si stanno rivolgendo alle tasse.
"Qualcosa che dice di conoscerti, il tuo nome, dove lavori e vuoi che tu intraprenda qualche azione è più difficile da individuare, "dice Sherrod DeGrippo, direttore senior della ricerca e rilevamento delle minacce presso Proofpoint, una società di sicurezza informatica con sede a Sunnyvale, California.
Una truffa comune durante le vacanze è un'e-mail presumibilmente dal capo che dice a un membro dello staff di acquistare carte regalo e inviare i numeri via e-mail, dice DeGrippo.
"Quando sembra provenire da un capo o da un amministratore delegato, Penso che ci sia quella tendenza tra i dipendenti a seguire queste indicazioni. Stanno giocando sulle loro emozioni, " lei dice.
Spesso, una truffa riesce a convincere un dipendente a fare clic su un'e-mail personale mentre si trova su un PC aziendale:molti lavoratori controllano la propria e-mail personale mentre sono al lavoro. Anche se l'e-mail è arrivata su un messaggio personale, è la macchina dell'azienda che può essere infettata.
Le aziende possono proteggersi in parte limitando l'accesso dei dipendenti ai siti di posta elettronica personali, dice Telang. Suggerisce inoltre seminari per aiutare il personale a comprendere i rischi che possono presentare anche le e-mail dall'aspetto legittimo.
Alcune delle truffe mirano a monitorare le sequenze di tasti di un utente. Quindi chiunque acceda a un'azienda o a un account personale di qualsiasi tipo può dare a un criminale l'accesso al proprio denaro o ai dati personali sensibili. Uno strumento per evitare che un conto bancario venga svuotato o una carta di credito esaurita è avere conti con autenticazione a più fattori; che richiede una password e un codice separato inviati a un dispositivo diverso e che è diverso per ogni accesso.
© 2019 The Associated Press. Tutti i diritti riservati.
