Spoofing: cos'è e come difendersi

Negli ultimi due mesi si sono moltiplicati gli utenti che hanno denunciato il furto di denaro dalle loro carte di credito o prepagate. Anche se il modo esatto in cui è avvenuto il furto dei dati di così tanti consumatori non è ancora stato determinato con certezza, in rete si è parlato molto di una probabile truffa basata sullo spoofing. Ebbene, scopriamo di che si tratta e come fare per difendersi.

Il significato di Spoofing

Derivato dal verbo inglese “spoof ”, che significa parodiare, il termine spoofing indica l'impersonificazione di qualcun altro da parte di un cybercriminale allo scopo di rubare dati personali o entrare in un sistema informatico.

Può avvenire in diversi modi, ecco i principali:

• Via e-mail: è la tecnica più diffusa, nella quale i truffatori inviano a migliaia di indirizzi un messaggio firmato, ad esempio, dalle Poste, da una banca o da un servizio di pagamento online, in cui si dice che il conto o la carta sono stati bloccati. Per sbloccarli, il ricevente deve cliccare su un link che conduce a un sito malevolo, magari quasi identico al sito ufficiale, in cui gli viene richiesto di inserire delle informazioni sensibili.
• Via SMS: la stessa strategia può essere applicata anche agli SMS.
• Via sito web: in questo caso i criminali creano una replica il più possibile simile di un sito web comunemente ritenuto affidabile, ad esempio un e-commerce o ancora una banca.
• Spoofing dell'IP: passiamo allo spoofing più tecnico, che non cerca di ingannare un utente ma un computer, facendogli credere che determinate richieste (ad esempio la ricezione di un pacchetto di dati contenente un malware) provengano da una fonte con un IP considerato affidabile.
• Spoofing del DNS: in questo caso è il server DNS ad essere ingannato. La conseguenza per gli ignari navigatori è che l'URL che digitano sul loro browser di navigazione non li conduce al sito web autentico, ma a uno fittizio e truffaldino.

Come avviene un tentativo di spoofing

È capitato a tutti noi di ricevere delle e-mail o degli SMS che sembravano autentici e che invece sono risultati essere truffe o tentativi di phishing. Nella maggior parte dei casi non abbiamo abboccato, ma purtroppo sui grandi numeri c'è sempre qualche utente più distratto che ci casca.

Vale inoltre la pena ricordare che occorre stare attentissimi soprattutto ai contatti che avvengono via SMS o addirittura chiamata. È infatti noto che le truffe telefoniche sono più efficaci perché tendiamo a usare i nostri smartphone anche quando siamo distratti o stanchi, cosa più rara con le e-mail.

Come difendersi dallo spoofing

Vediamo ora alcuni consigli per difendersi dagli attacchi che usano lo spoofing:

• Non rispondere mai a e-mail e SMS che avvisano del blocco della propria carta o del proprio conto corrente. Le banche, la posta, le aziende di pagamenti online e via dicendo non comunicano mai in questo modo.
• Controllare l'url del sito: pensi di essere sul tuo e-commerce preferito e stai per digitare il numero della tua carta di credito per fare un acquisto. Alt! Dai un'occhiata all'url. È quello giusto? È Amazon.com o Amazom.com?
• Dotarsi di sistemi di protezione adeguati, come anti-virus e firewall, specialmente in caso di smartworking.

Hai un'azienda e temi che i tuoi dati – tramite una vulnerabilità nel sistema informatico o un errore umano –possano finire in cattive mani? Usa SICURNET BUSINESS, il servizio di Mister Credit che monitora la diffusione dei tsuoi dati aziendali in contesti di rischio e ti mostra l'attuale esposizione al cyber risk della tua azienda, offrendo assistenza in caso di vulnerabilità informatiche.