Phishing e spoofing sono termini spesso usati in modo intercambiabile. Non sono la stessa cosa e, come imprenditore, è importante che tu sappia qual è la posta in gioco nel caso in cui il tuo laptop, PC o l’intera rete diventasse l’obiettivo di entrambi i tipi di attacco.
Differenze tra phishing e spoofing
L’idea sbagliata che phishing e spoofing siano sinonimi, basata su nient’altro che somiglianze estetiche, pervade Internet. Phishing e spoofing sono chiaramente diversi sotto la superficie. Uno scarica malware sul tuo computer o sulla tua rete e l’altro ti induce a cedere informazioni finanziarie sensibili a un criminale informatico. Il phishing è un metodo di recupero, mentre lo spoofing è un mezzo di consegna.
Cos’è lo spoofing?
I criminali informatici creano contraffazioni pixel perfette di e-mail aziendali per indurre i proprietari di aziende a intraprendere azioni sconsiderate. Nessuno scaricherà deliberatamente un Trojan pieno di malware, ma potrebbe farlo involontariamente se pensasse che i suoi account commerciali fossero inclini al furto di identità. Qui sta la premessa dello spoofing; un’e-mail dall’aspetto ufficiale di un importante fornitore di servizi ti informa di intraprendere azioni precauzionali per proteggere le tue finanze o la tua reputazione. I loghi aziendali e altri elementi grafici distintivi sono facili da dirottare e incorporare nelle e-mail da parte degli hacker. Questi elementi grafici professionali convincono gli utenti finali che una minaccia imminente può essere soppressa seguendo le istruzioni del mittente, che di solito comporta il clic su un collegamento nel messaggio. Nella maggior parte dei casi il collegamento esegue un file dannoso che danneggia il sistema operativo e le applicazioni critiche mentre si propaga in tutta la rete, mettendo a rischio i clienti e i fornitori.
In che modo il phishing è diverso?
In termini pratici, il phishing è una forma di spoofing in quanto inganna con messaggi dall’aspetto legittimo. A differenza dello spoofing, una truffa di phishing di solito fornisce un collegamento a un sito Web fasullo in cui all’utente finale è richiesto di inserire informazioni sensibili sull’account. Il sito potrebbe chiederti di fornire il tuo numero di previdenza sociale, ID fiscale o informazioni sul conto bancario. Il rilascio di queste informazioni potrebbe causare danni ai tuoi beni e un segno indelebile sul tuo rating di credito. Gli hacker sono esperti nel design HTML e nella programmazione Web, quindi l’occhio inesperto può essere facilmente ingannato. Fortunatamente, almeno per il momento, ci sono alcuni segni rivelatori che rivelano queste truffe, inclusi URL sospetti e allegati non richiesti.
Precauzioni
Se ricevi un’e-mail sospetta, passa con il mouse sull’indirizzo del mittente e prendi nota del nome di dominio. Gli hacker intelligenti acquistano un nome di dominio che è una sottile variazione di un URL legittimo, quindi cerca piccoli errori di ortografia. Gli hacker sciatti si tradiscono con un URL che è completo gobbledygook. Diffidare dei file allegati; gli istituti finanziari raramente, se non mai, li invieranno ai propri clienti. Se il messaggio ha un file “.exe”, “.scr”, “zip” o “.bat” allegato, consideralo una bandiera rossa e non aprirlo o seguire le istruzioni. Chiama il tuo fornitore di servizi se sospetti un’email senza scrupoli. Il tuo fornitore accoglierà con favore le informazioni perché offre al tuo istituto finanziario la possibilità di proteggere le risorse e le identità dei suoi clienti.