A dare l'allarme è Kaspersky Lab, una delle più importanti aziende al mondo specializzate in sicurezza informatica, che avverte tutti gli utenti del social network: Facebook è il bersaglio preferito di hacker e malintenzionati, il cui scopo principale è quello di rubare account e dati personali.
Secondo le statistiche incluse in un rapporto pubblicato dal colosso della sicurezza informatica, il 10,8 percento delle segnalazioni di phishing e di frodi online riguardano i falsi siti che, riproducendo in ogni minimo particolare l'interfaccia grafica della piattaforma di Mark Zuckerberg, spingono – tramite un messaggio di posta elettronica – le ignare vittime a effettuare il login, inserendo i propri dati personali, per poi memorizzarli e modificarli: in questo modo gli utenti perdono totalmente il controllo del proprio profilo, che resta in balia dei malviventi e che potrebbe essere utilizzato per compiere ulteriori pratiche illegali.
"I criminali informatici attaccano il sito in diverse lingue tra cui inglese, francese, tedesco, portoghese, italiano, turco e arabo" – spiega l'azienda – "Rendendo la falsificazione degli account di Facebook un business globale".
Facebook non è solo un luogo di svago, ma è soprattutto una piattaforma di diffusione: nonostante siano in molti a sottovalutare l'importanza di tenere al sicuro gli account sul social network di Menlo Park, l'enorme bacino d'utenza e le tantissime interconnessioni che da anni caratterizzano Facebook sono l'arma ideale di hacker e malviventi, per diffondere ulteriori link di phishing e malware: in soldoni i pirati informatici utilizzano gli account rubati per pubblicare link malevoli o inviarli tramite messaggi privati. Gli account rubati inoltre possono essere utilizzati anche per raccogliere informazioni personali e, nel caso in cui fossero utilizzati tramite un dispositivo mobile, metterebbero a rischio anche i dati contenuti sullo smartphone o sul tablet delle vittime.
Come proteggersi dal phishing
Il web può essere un posto (più) sicuro, ma bisogna utilizzarlo con poca superficialità e con cognizione di causa. Ecco una serie di semplici consigli utili a raggiungere lo scopo, per essere in grado di identificare un eventuale messaggio di phishing e avere il totale controllo delle email ricevute.
- Verificare il mittente. Qualora non si fosse certi del mittente di un messaggio di posta elettronica, è essenziale verificarne la reale provenienza tramite l’intestazione (Header). Le modalità di visualizzazione dell’header, cambiano in base all'applicazione per le email che si utilizza.
In un’intestazione email tipica, vengono visualizzate diverse righe che iniziano per “Ricevuto”: l’ultima riga contenente questa voce, sarà simile a quella evidenziata di seguito:
- Verificare la corrispondenza del link. La gran parte dei messaggi di phishing contengono link ingannevoli che sembrano fare riferimento a un sito web attendibile. Eseguendo un’ispezione più attenta, ci si rende subito conto che il link allegato al messaggio porterà a un sito web che non ha niente a che vedere con la società da cui l’email finge di provenire, sebbene possa essere progettato per avere esattamente lo stesso aspetto.
Nei più recenti sistemi operativi per computer, verificare il link contenuto nel messaggio di posta elettronica è semplicissimo: basta posizionare il puntatore del mouse sul testo che include il collegamento ed attendere qualche secondo la comparsa di un popup, nel quale è indicato il link reale corrispondente.E’ evidente in questo caso specifico, che il link visualizzato e quello effettivo non corrispondono affatto. Se gli URL presenti nell’email non corrispondono o il secondo URL non proviene da un dominio o da un’azienda familiare, è probabile che si tratti di un email a scopo di phishing.
- La forma del saluto. Sembrerà una frivolezza, ma non è assolutamente così. Le email di phishing iniziano generalmente con una frase generica del tipo “Gentile cliente” o con il nome dell’account email in uso (ad esempio “Gentile mubasa”) al posto del vero nome, proprio perché nella stragrande maggioranza dei casi vengono generate automaticamente e utilizzano una forma valida per tutti gli utenti. In molti non fanno caso a un piccolo particolare, ma praticamente tutte le aziende specificano il nome del cliente.