Dall’inizio di questa emergenza sanitaria la maggior parte delle persone è stata costretta a continuare il suo lavoro in smart working. Le organizzazioni si sono dovute organizzare velocemente sia per consentire ai dipendenti di lavorare da casa, sia per continuare a mantenere allineati, con vari meeting, le attività di progetto e le persone.
Per quest’ultima ragione si è fatto molto ricorso alle più conosciute App di videoconferenza. Tra le prime, per notorietà e importanza, vi è sicuramente Skype.
Ovviamente, il cyber crime non poteva lasciarsi sfuggire l’occasione di utilizzare il famoso brand per delle nuove campagne di phishing. Obiettivo del phishing? Rubare le credenziali di accesso.
Una campagna di phishing molto raffinata
Come per molti attacchi phishing, ad innescare la trappola una mail proveniente da un mittente, questa volta conosciuto: Skype.
Un mail quindi apparentemente legittima, peccato che l’indirizzo mail del mittente, pur essendo vera, risulta tra quelle compromesse. Questa tipologia di falsificazione dell’identità, conosciuta come spoofing, rende ancora più efficaci le attività di phishing.
Inoltre, il contenuto della mail è in linea con quelle inviate realmente da Skype. Nel testo l’utente viene avvisato della presenza di presunte notifiche in sospeso da visionare sulla piattaforma di video conferenza.
Per visionarle si chiede di cliccare sul bottone “Review”. Cliccando si arriva in una pagina simile sia nel contenuto che nel formato a quella della famosa app. Per rendere ancora più raffinata la truffa, l’url utilizzata per la finta pagina si presenta con una connessione “apparentemente sicura” HTTPS.
Infine viene fatta richiesta di autorizzare una dichiarazione di responsabilità sulla concessione d’uso delle informazioni, elemento che rende ancora più credibile la legittimità di quanto richiesto.
Una volta fornite le credenziali di accesso per visionare le notifiche, la truffa sarà di fatto compiuta. Avrete così fornito le vostre credenziali di accesso ai criminali cyber.
Cadere in questa truffa è purtroppo molto facile, sia per la raffinatezza con cui è realizzata, sia per il periodo contingente e delicato che stiamo vivendo.
Gli strumenti di videoconferenza hanno assunto un ruolo importante nella vita lavorativa di molti e spesso, si preferisce verificare subito il contenuto di una notifica, di una mail, di un file, piuttosto che rischiare di rimanere indietro con il lavoro.
Preparazione, prudenza e diffidenza per difendersi dal phishing
Come detto, è molto facile cadere in queste trappole, ma alcuni consigli possono essere utili per prevenire il danno:
- resistere alla curiosità e al senso di urgenza presente nella mail
- leggere attentamente i dettagli dell’intestazione dei messaggi di posta, verificando l’autenticità dell’identità del mittente sul suo sito ufficiale
- evitare di cliccare su link contenuti nelle mail
- verificare con molta attenzione l’indirizzo del link
- non scaricare alcun tipo di allegato contenuto nella mail
- verificare con attenzione che nella pagina di atterraggio del sito non siano visibili errori.
- dubitare sempre prima di fornire le proprie credenziali o dati personali a chiunque
E sopratutto, se pensate che l’azione richiesta sia legittima, fatela collegandovi direttamente al sito ufficiale.
Infine, per riconoscere un eventuale mittente fraudolento, Microsoft fornisce una lista di indirizzi e-mail del servizio di assistenza di Skype.
Il consiglio migliore
In ogni caso, il consiglio migliore rimane sempre quello di mantenersi costantemente aggiornati sulle minacce del web, perché la miglior difesa per difendersi dal cyber crime è proprio la consapevolezza.
In quest’ottica le soluzioni della piattaforma Cyber Guru, con i loro percorsi formativi, aiutano ad accrescere la consapevolezza sulle minacce cyber, e a rafforzare la capacità di riconoscere i potenziali attacchi di phishing.