Come proteggersi e combattere il phishing nel web

Tecniche per proteggere i dati personali e finanziari

Fino a pochi anni fa l’adozione di strategie anti-phishing per proteggere i dati personali e finanziari era bassa. Oggi invece ci sono molte tecniche per combattere il phishing. Le principali sono sicuramente le seguenti:

1. Istruzione: una strategia per combattere il phishing è istruire le persone a riconoscere gli attacchi e ad affrontarli. L’educazione può essere molto efficace, specialmente se vengono enfatizzati alcuni concetti e fornito un feedback diretto. L’Anti-Phishing Working Group, un ente di rinforzo per la sicurezza, ha suggerito che le tecniche di phishing convenzionali potrebbero diventare obsolete in futuro, con la crescente consapevolezza delle persone delle tecniche di social engineering usate dai phisher. Ha inoltre predetto che il pharming e diversi usi di malware diventeranno più comuni per rubare informazioni. Tutti possono aiutare il pubblico incoraggiando pratiche sicure ed evitando quelle pericolose;
2. Risposta tecnica: misure di anti-phishing sono state implementate nei browsers, come estensioni o toolbar, e come parte delle procedure di login. Sono anche disponibili software contro il phishing.
3. Aiuti nell’identificare i siti legittimi: la maggior parte dei siti bersaglio del punishing sono protetti da SSL con una forte crittografia, dove l’URL del sito web è usata come identificativo. Questo dovrebbe confermare l’autenticità del sito, ma è facile da aggirare. La vulnerabilità che viene sfruttata sta nella user interface (UI) del browser. Nell’URL del browser viene indicata con dei colori la connessione utilizzata;
4. Browser: utilizzare browsers che allertano l’utente quando visitano siti truffaldini; un altro approccio per combattere il phishing è quello di mantenere una lista dei siti noti per phishing e controllare se l’utente li visita. Tutti i browser popolari incorporano questo tipo di protezione. Alcune implementazioni di questo approccio mandano gli URL visitati a un servizio centrale, che ha suscitato preoccupazione per la privacy. Una protezione di questo tipo può essere applicata anche a livello di DNS, filtrando a monte le richieste pericolose, questo approccio può essere applicato a ogni browser, ed è simile all’uso di un file host (un file in cui si definiscono destinazioni personalizzati per domini);
5. Argomentare i login con password: il sito di Bank of America è uno dei siti che ha adottato il sistema di far scegliere nel momento dell’iscrizione un’immagine all’utente, e mostrarla ad ogni login successivo. In questo modo essendo l’immagine nota solo all’utente e al sito legittimo in un eventuale attacco di phishing questa sarebbe assente o sbagliata. Però molti studi hanno suggerito che l’utente ignori la mancanza della sua immagine personale e immette la sua password;
6. Eliminazione delle mail di phishing: si cerca di eliminare le mail attraverso filtri specializzati contro la spam, diminuendo le minacce diminuiscono le possibilità di essere ingannati. I filtri si basano sul machine learning e natural language processing per classificare le mail a rischio;
7. Monitoraggio e blocco: molte compagnie offrono servizio di monitoraggio e analisi per banche e organizzazioni con lo scopo di bloccare i siti di phishing. Però i singoli individui possono contribuire riportando tentativi di phishing, a servizi come Google, Cyscon o PhishTank. Internet Crime Complaint Center noticeboard raccoglie e gestisce allerte per ransomware e phishing;
8. Verifica a 2 passi delle transazioni: prima di autorizzare operazioni sensibili viene mandato un messaggio telefonico con un codice di verifica da immettere oltre la password;
9. Limiti della risposta tecnica: un articolo di Forbes dell’agosto 2014 argomenta che il phishing resiste alle tecnologie anti-phishing perché una tecnologia non può sopperire in modo completo alle incompetenze umane (“un sistema tecnologico per mediare a debolezze umane”).