La maggior parte delle persone viene hackerata tramite attacchi di phishing. Ecco come proteggersi al meglio.
Giornalisti e redazioni sono sempre più vittime di hacking e malware e spesso gli hacker li prendono di mira tramite la loro email. Praticamente ogni hack "sofisticato" di un singolo giornalista o di un'intera redazione comporta un attacco relativamente semplice: phishing e spear phishing.
Il phishing è un attacco di ingegneria sociale in cui un avversario crea un'email (o un messaggio di testo, app) in modo tale da indurti con l'inganno a divulgare informazioni che potrebbero essere utilizzate contro di te o la tua rete; ottenere l'accesso e, infine, requisire il tuo account; o introdurre malware e/o virus nel tuo computer. Lo spear phishing è proprio come il phishing, tranne per il fatto che l'attaccante utilizza le informazioni che già conosce su di te per personalizzare in modo specifico la propria email di phishing. Esistono molti modi per essere oggetto di phishing e accade incredibilmente frequentemente. Preparati con la nostra guida per mitigare o evitare attacchi di phishing o spear phishing.
2FA in soccorso
Uno dei progressi più importanti nella sicurezza delle credenziali è l'autenticazione a due fattori. L'autenticazione a due fattori (o "2FA") si basa sull'idea che i servizi sono più sicuri se vi accedi con qualcosa che conosci (ad esempio, la tua passphrase) e qualcosa che hai (ad esempio l'accesso fisico al tuo telefono). Con 2FA, ogni accesso richiederà un passaggio aggiuntivo dopo aver inserito la password: ti verrà richiesto di inserire un codice che viene visualizzato solo sul dispositivo su cui hai il controllo. Questo codice può arrivarti tramite messaggio di testo (es. SMS) dal servizio stesso o viene visualizzato in un'app sul tuo telefono (come Google Authenticator o Authy). In questo modo, se qualcuno dovesse mai ottenere la tua password, non potrebbe comunque accedere a meno che non abbia anche il controllo fisico sul tuo telefono.
Attiva l'autenticazione a due fattori per tutti i servizi che puoi, a partire dal tuo account Gmail. Meglio ancora, procurati una chiave di sicurezza, un piccolo dispositivo che puoi collegare al computer o connetterti al telefono in modalità wireless, se supporta NFC, per abilitarlo in modo sicuro.
In caso di phishing (succede ai migliori di noi!) nessuno potrà utilizzare la password rubata perché dovrebbe anche avere accesso alla tua chiave di sicurezza per accedere a quell'account.
Il sito Web 2fa.directory ha un elenco completo di servizi che supportano 2FA, nonché collegamenti diretti alle indicazioni per abilitarlo ovunque sia disponibile.
A volte, il campo "da" ti sta mentendo
Comprendi che cose come il campo "da" nelle tue e-mail possono essere falsificate per ingannarti. Sebbene sia difficile per qualcuno inviare un'email utilizzando l'indirizzo di qualcun altro, può essere fatto. È anche incredibilmente facile creare un indirizzo email che sia abbastanza simile all'email del tuo contatto per impersonarlo.
Nel primo caso, esaminare le intestazioni delle email potrebbe farti pensare a un falso. Tuttavia, non tutti i client di posta elettronica lo chiariscono o ti avvisano quando qualcuno sta tentando di ingannarti in questo modo. Ecco un esempio di questo attacco in azione: un'email che afferma di provenire da un indirizzo Gmail legittimo arriva nella mia casella di posta, ma non è stata inviata da uno dei veri server di Gmail.
Le informazioni nella fonte di un'email non possono essere facilmente falsificate, quindi quella parte di informazioni è più affidabile del nome/indirizzo email associato all'email. Sii consapevole di questa minaccia e scegli un client di posta elettronica che abbia in mente la tua protezione. Per quanto possiamo criticare Google per essere un enorme monolito che estrae i nostri dati personali per le entrate pubblicitarie, Google fornisce molta protezione contro questo attacco.
Il secondo caso riguarda un trucco chiamato typo-squatting: quando qualcuno acquista un dominio che assomiglia molto a un dominio legittimo che conosci, ma è un po' sbagliato per ingannarti. Ad esempio, una volta ho ricevuto un'email da qualcuno nel dominio "gooogle" era un tentativo di phishing che voleva che accedessi al loro sito fasullo per rubare le mie vere credenziali di Google.
Attenzione agli allegati
Gli allegati di posta elettronica possono essere veicolati da malware e virus e comunemente accompagnano le email di phishing. Il modo migliore per evitare il malware dagli allegati è non scaricarli mai. Tuttavia, scaricare documenti fa spesso parte del lavoro di un giornalista. Come regola cardinale, non aprire subito gli allegati, soprattutto se provengono da persone che non conosci. Se la tua fonte ti sta inviando un documento composto principalmente da testo, come una copia di un promemoria, chiedi loro di copiare e incollare il testo nell'email invece di inviarlo come allegato.
Se devi aprire l'allegato, dovrebbe essere aperto solo in un ambiente "sandbox": un programma, un servizio o anche un computer dedicato che impone la separazione tra i documenti che apri e il computer che usi. Google Drive dal tuo browser può essere una sandbox molto efficiente. Quindi, invece di scaricare un allegato e aprirlo sul tuo computer, visualizzalo lì.
Se sei davvero sospettoso ma hai ancora bisogno di aprire l'allegato, puoi anche utilizzare una macchina "airgapped" (un computer che non tocca mai una rete) per visualizzare i documenti e stampare quelli che ti servono in seguito.
D'altra parte, a volte i malintenzionati ti inviano allegati che non hai intenzione di visualizzare e che è probabile che contengano malware. Di solito, questi allegati includono (ma non sono limitati a) file JavaScript (.js/.jse) o file Windows Script (.wsh/.wsp). Il tuo computer potrebbe eseguire questi file automaticamente e questo è un modo in cui il malware entra nel tuo computer.
Modifica le impostazioni in modo che determinati file non vengano mai eseguiti automaticamente, ma si aprano invece in un'applicazione di editor di testo, che visualizzerà il contenuto del file invece di eseguirlo. Idealmente, l'editor di testo che utilizzi non dovrebbe sincronizzarsi con il cloud, nel caso in cui si tratti effettivamente di un file legittimo che non desideri condividere con un provider di servizi cloud snoopy.
Su Windows:
Apri una finestra di Edge (EdgeHTML) ed esegui una ricerca per il tipo di file che desideri modificare (ad esempio (".js").
Fai clic con il pulsante destro del mouse su un file risultante e seleziona "Apri con -> Scegli un'altra app".
Se è elencato Blocco note o un'altra app che desideri, selezionalo. In caso contrario, scegli "Cerca un'altra app su questo PC" per trovare e selezionare l'app che desideri utilizzare.
Seleziona "usa sempre questa app per aprire i file .js" (usando i file .js come esempio).
Infine, seleziona "OK" per salvare le modifiche.
Anche se di solito è meno un vettore di attacco per gli utenti Mac, ecco come modificare l'applicazione predefinita di un file su un Mac.
Su un Mac:
Apri una finestra del Finder ed esegui una ricerca per il tipo di file che desideri modificare (ad esempio (".js").
Fai clic tenendo premuto il tasto Ctrl su un file risultante e seleziona "Ottieni informazioni".
Modifica l'opzione "Apri con:" nel tuo editor di testo preferito.
Fai clic su "Cambia tutto..." in modo che ogni file di quel tipo si apra allo stesso modo.
Fare clic con cautela
Sii scettico sui collegamenti nelle email. C'è un semplice trucco per assicurarsi che un collegamento in un'email ti invii dove dovrebbe: usa il mouse per passare il mouse su qualsiasi collegamento prima di fare clic su di esso, per vedere qual è l'indirizzo effettivo. Se stai utilizzando un dispositivo mobile, una "pressione prolungata" mostrerà anche l'indirizzo reale.
Se si tratta di un accorciatore di link (ad esempio, un sito come bit.ly che prende indirizzi web lunghi e ne crea uno breve e digitabile) invece dell'indirizzo completo, non aprirlo. Inoltre, non seguire link a domini che non conosci. In caso di dubbio, esegui una ricerca per il dominio, con il nome di dominio tra virgolette con un motore di ricerca che preserva la privacy (come DuckDuckGo) per vedere se si tratta di un sito Web legittimo. Questa non è una soluzione al 100%, ma è una buona precauzione da prendere.
Infine, se fai clic su un collegamento da un'email e ti viene chiesto di accedere, un gioco finale comune per le campagne di phishing, non farlo. Invece, vai manualmente al sito Web del servizio a cui stai tentando di accedere e accedi lì. In questo modo, saprai che stai accedendo al sito Web corretto perché hai digitato l'indirizzo, piuttosto che doverti fidare del link email.
Le immagini in linea sono piccoli segnali di tracciamento
Disattiva la capacità del tuo client di posta elettronica di visualizzare automaticamente le immagini. Ogni volta che un'immagine viene caricata nella visualizzazione dell'email, viene effettuata una richiesta in qualsiasi punto su Internet sia ospitata l'immagine. Gli avversari hanno criticato questo gioco dell'industria del marketing: usano questo trucco per scoprire chi ha aperto la loro email e quando, una specie di segnale di localizzazione. Gmail ha la possibilità di impedire il caricamento automatico delle immagini: attivalo immediatamente! Ecco come: vai su "Impostazioni" dall'icona a forma di ingranaggio a destra della pagina e poi su "Vedi tutte le impostazioni". Nella scheda "Generale" (che è la prima scheda), seleziona "Chiedi prima di visualizzare immagini esterne". Infine, fai clic su "Salva modifiche".
Puoi sempre abilitare il caricamento delle immagini per email o anche per mittente, se ti fidi del mittente e desideri visualizzare le immagini nella sua email.
Difendi te stesso e gli altri!
Se qualcuno ti sta inviando allegati, collegamenti o immagini non richiesti e sembra sospettosamente insistere affinché tu li apra immediatamente, digli gentilmente di "fai volare un aquilone!" Non solo quello che stanno facendo è scortese, potrebbe indicare che intendono ingannarti e stanno usando la pressione sociale per farti completare il loro exploit. D'altra parte, fai attenzione a questi trucchi e cerca di non bombardare le persone con collegamenti, immagini e allegati nelle tue comunicazioni email che farebbero sembrare sospette le tue vere email. Non solo mostra che tieni alla sicurezza delle persone con cui comunichi, ma incoraggia una cultura tra le tue connessioni che è vigile, consapevole, premurosa e rispettosa della privacy.
Puoi sempre inviare a me un allegato in formato PDF per un controllo. (Questo logicamente prima di essere scaricato e aperto nel computer o dispositivo).
