Passepartout umani: perché l’ingegneria sociale è un fattore di rischio da non sottovalutare


Oltre al crescente numero di minacce informatiche generalizzate i cybercriminali si avvalgono di tecniche mirate per manipolare gli impiegati e carpire i dati di accesso alla rete aziendale.

Bochum (Germania) – Nel 2017 gli analisti G DATA hanno rilevato 16 nuovi campioni di malware al minuto. Se da un lato bisogna premunirsi contro i rischi legati alle infezioni da malware, è anche oltremodo necessario prestare attenzione alla componente umana. I criminali su internet utilizzano perfidi trucchi per accedere in modo mirato a informazioni confidenziali manipolando i membri dello staff dell’azienda – un’attività definita in gergo “ingegneria sociale”. Ecco i fattori principali a cui G DATA individua i fattori che gli IT manager non dovrebbero sottovalutare.

Le organizzazioni tendono a circoscrivere le misure di sicurezza IT alla protezione contro i vettori di attacco più comuni, che spaziano dai malware quali ransomware, trojan e virus, fino alla manipolazione delle configurazioni di sistema o attacchi DDoS. Tuttavia esiste una vulnerabilità spesso sottovalutata dagli IT manager: l’ingegneria sociale.

Impiegati trasformati in marionette

Ormai sono passati i tempi in cui il dipartimento delle risorse umane riceveva curriculum incomprensibili da parte di finti candidati. Errori di grammatica grossolani e refusi erano sufficienti per distinguere comunicazioni fasulle/pericolose da quelle legittime. Superata la curva di apprendimento, oggi i cybercriminali si preparano molto più dettagliatamente. Secondo i rilevamenti contenuti nel rapporto Social Engineering Attack Framework un attacco mirato di questo tipo è composto da addirittura sei fasi:

  • Fase 1: pianificazione dell’attacco
  • Fase 2: raccolta delle informazioni utili
  • Fase 3: preparazione
  • Fase 4: instaurazione di un rapporto con un impiegato dell’azienda
  • Fase 5: manipolazione del contatto
  • Fase 6: resoconto

Ne è un esempio il responsabile della ricerca del personale, che spesso si avvale delle piattaforme social per identificare i candidati ideali. In questo caso si parla di “scouting” (reclutamento). Una volta individuato un candidato in linea con il profilo richiesto, si prende contatto con la persona. I criminali sono a conoscenza di questa procedura di ricerca e creano falsi profili attraverso cui si propongono al manager delle risorse umane al momento opportuno. Il perpetratore mira a carpire informazioni sull’addetto HR, creando un rapporto di fiducia con la controparte, per poi inviargli una lettera motivazionale facendo riferimento allo scambio avvenuto sui social. Questo metodo risulta molto più efficace rispetto all’invio di una candidatura “spontanea” standardizzata. La comunicazione a posteriori della presa di contatto tramite i social consta di norma di un testo conciso, e di un allegato PDF con fotografia personale. Una volta aperto l’allegato, il malware viene installato sul computer. Il malvivente è riuscito a manipolare il membro dello staff e a fargli aprire il file infetto. Si potrebbe trattare di un ransomware che cifra file sensibili e che richiede un riscatto per decriptarli come di un trojan che registra la sequenza di tasti premuti dall’impiegato in fase di accesso alla rete aziendale (login e password) per poi inviarli al criminale.

L’ingegneria sociale causa ingenti danni finanziari

L’ingegneria sociale è utilizzata in tutti i casi in cui le persone possono essere manipolate e una buona metodologia può essere molto remunerativa per i cybercriminali, che guadagnano così accesso a informazioni di valore sullo staff, dati di accesso alle risorse di rete o a file confidenziali che svelerebbero segreti industriali. A tal proposito il Clusit annovera nel suo recente rapporto che nel 2017 il Cyber Espionage, cui vanno ricondotti anche i furti di proprietà intellettuale, è cresciuto su scala globale del 46. Dal momento che questi metodi di attacco stanno diventando sempre più popolari, ci si aspetta un ulteriore incremento dei danni subiti dalle aziende. “Oltre a dotarsi di soluzioni di sicurezza in grado di riconoscere proattivamente attività di sistema illegittime come quelle annoverate, condurre campagne di sensibilizzazione e corsi di formazione dello staff risulta essere un’arma vincente contro questo tipo di attacchi” conferma Giulio Vada, Country Manager di G DATA Italia.

IT manager all’erta

Innanzitutto, gli IT manager dovrebbero accertarsi del fatto che i membri del proprio staff siano a conoscenza delle tecniche di ingegneria sociale. Il team di G DATA Italia offre corsi di formazione che aiutano gli impiegati ad individuare ed evitare questa tipologia di minacce. Lo staff apprende che le email vanno lette in modo critico, che dati sensibili non devono assolutamente essere archiviati o divulgati tramite telefono e che non vanno aperti link che puntao a pagine in cui si richiede un login. Un altro strumento altrettanto importante è la protezione anti-phishing fornita dai più moderni software di sicurezza e in grado di sventare molti attacchi sul nascere. Queste suite aiutano significativamente lo staff consentendo un’elaborazione più rapida di email realmente importanti per il lavoro quotidiano. In altri termini il connubio tra formazione e soluzioni di sicurezza minimizza il rischio che un qualsiasi impiegato diventi vittima di un attacco dovuto all’ingegneria sociale provocando eventuali danni finanziari.

 

*.*

Continua a leggere

SID 2018: più sicurezza su Internet


 

I consigli di G DATA per un utilizzo più sicuro dei social network e altre piattaforme online

 

Bochum (Germania) – Nel mese di novembre dello scorso anno gli italiani hanno trascorso almeno due ore online nel giorno medio (dati Audiweb). I giovani in particolare dedicano molto del proprio tempo ai social network o utilizzando servizi di messaggistica online, spesso senza curarsi di tutelare propri dati personali, mettendo a rischio le proprie identità digitali. Un’altra minaccia in cui si può incappare quando si ha a che fare con il world wide web è il cyberbullismo. Quest’anno il Safer Internet Day (SID), iniziativa UE spalleggiata da istituzioni, società, organizzazioni, associazioni e privati, è all’insegna del motto “crea, connettiti e condividi rispetto: un internet migliore comincia da te” e ha come obiettivo quello di sensibilizzare gli utenti ai pericoli di Internet. Per rimarcare l’importanza di questa giornata europea di prevenzione, G DATA non solo ha avviato con l’inizio del mese gli incontri con le scuole per educare allievi e insegnanti ad un uso consapevole di Internet ma fornisce consigli riguardanti la sicurezza e suggerisce come gli internauti possono tenere monitorati i propri dati sensibili.

Ransomware, phishing, cyberbullismo – la lista delle minacce su Internet è davvero lunga. Gli internauti sono facili vittime di attacchi andati a segno, nel qual caso devono confrontarsi con la perdita dei propri dati personali o con conseguenze di più vasta portata.

“Molti utenti Internet non prendono seriamente la tutela della propria identità digitale perché ignari dei rischi o perché non si ritengono obiettivi interessanti per gli attacchi dei cybercriminali, facilitando le attività dei predatori” spiega Tim Berghoff, Security Evangelist di G DATA. “Con pochi accorgimenti, gli utenti possono proteggersi dagli attacchi online, dal cyberbullismo e similari”.

E’ della stessa opinione anche Mauro Ozenda, lo specialista incaricato da G DATA della formazione nelle scuole, che domani, 7 febbraio, giornata mondiale contro il bullismo e il cyberbullismo nelle scuole, incontrerà allievi, insegnanti e genitori dell’Istituto Comprensivo 1 di Asti, dopo gli incontri del 2 e 3 febbraio a Chiaravalle in provincia di Ancona (Istituto Comprensivo M. Montessori, Istituto Comprensivo R.L. Montalcini) e a Jesi (Liceo Classico V. Emanuele). Il 21 febbraio sarà presso la Scuola Audiofonetica di Brescia.

“Sono ormai numerosi gli Istituti Comprensivi del Nord Italia consapevoli dell’importanza dell’educazione digitale dei ragazzi. Stiamo ricevendo un eccellente riscontro da Torino, Milano, Alessandria, Sondrio, Verona e altre città” conferma Ozenda, che nell’arco della giornata formativa incontrerà al mattino i ragazzi e nel pomeriggio i genitori.I consigli G DATA per un “Safer Internet Day” (e non solo)

  • Chiudere le falle di sicurezza: aggiornare i sistemi consente di avvalersi di sistemi operativi e applicazioni allo stato dell’arte ma non solo, installando gli aggiornamenti gli utenti possono chiudere eventuali vulnerabilità dei sistemi, altrimenti sfruttabili dai cybercriminali.
  •  Proteggersi con una suite per la sicurezza IT: una potente soluzione per la sicurezza IT dovrebbe essere parte integrante della dotazione di base di qualsiasi PC. La protezione non dovrebbe limitarsi alla rimozione di virus ma dovrebbe prevedere un filtro per lo spam, un firewall e la protezione in tempo reale contro le minacce online.
  • Spam per direttissima nel cestino digitale: è essenziale cancellare le e-mail di spam e non aprire in nessun caso link o file allegati
  • Password sicure: ci si dovrebbe dotare di una password differente per ogni account online, dai social network alla posta elettronica. La password dovrebbe constare di una sequenza arbitraria di numeri e lettere maiuscole e minuscole.
  • Proteggere la navigazione dei bambini: i genitori dovrebbero insegnare ai figli come utilizzare internet in modo sicuro. Il parental control può essere d’aiuto, prevenendo l’accesso dei minori a siti con contenuti inappropriati quali droga, violenza, pornografia, ecc.
  • Attenzione agli URL brevi: essendo in qualche modo codificati quindi non interpretabili, i link abbreviati possono condurre direttamente ad una trappola. Gli internauti devono quindi prestare particolare attenzione ed evitare di cliccare su link di dubbia provenienza
  • Non rivelare troppo della propria identità: chi utilizza i social network non dovrebbe rivelare troppe informazioni personali e sarebbe opportuno evitare di condividere sul proprio profilo dati sensibili come l’indirizzo postale o il numero di telefono cellulare
  • Non tutti gli utenti dei social sono amici: gli utenti dei social network spesso ricevono richieste di amicizia da sconosciuti. La richiesta di contatto dovrebbe essere accettata solo qualora si conosca la persona in questione, e, idealmente, se si è effettivamente amici.

Continua a leggere

Android nel mirino anche nel terzo trimestre 2017


G DATA pubblica la nuova statistica sui malware prodotti ai danni di Android registrati nel terzo trimestre 

Bochum- Con 810.965 nuovi malware per Android registrati nei tre mesi estivi (Giugno/Settembre 2017) e un aumento del 17% rispetto a quanto rilevato nel secondo trimestre, i rischi per gli utenti del noto sistema operativo mobile non accennano a diminuire e rappresentano una minaccia particolarmente accentuata in Italia dove circa il 66% degli utenti di smartphone usa Android (fonte: Statcounter), ma solo un utente su tre dispone di un sistema operativo aggiornato.

Rilevato un nuovo malware per Android ogni 9 secondi

Da Gennaio a Settembre gli analisti G DATA hanno identificato un totale di 2.258.387 nuovi ceppi di malware per Android, di cui 810.965 solo nel trimestre estivo, con una media di 8.815 nuovi rilevamenti al giorno, circa uno ogni nove secondi.

Gli attuali incidenti di sicurezza richiedono un ripensamento da parte dei produttori

Gli attacchi informatici come KRACK, Blueborne e Gooligan o trojan come Xafecopy continuano a fare notizia. Google solitamente reagisce velocemente e pubblica aggiornamenti di sicurezza, tuttavia questi sono frequentemente implementati solo sui suoi stessi dispositivi. In base alle più recenti statistiche di Google, su scala globale solo il 18% degli utenti Android beneficia della versione 7.0 del sistema operativo, che ha già un anno – ancor meno utenti dispongono già della versione successiva. Le falle di sicurezza sono e restano semplicemente aperte. Per molti dispositivi qualsiasi aggiornamento deve essere adattato al sistema operativo modificato del produttore di device mobili. Non è sempre chiaro se l’aggiornamento per un particolare dispositivo sarà mai disponibile.

I dispositivi mobili sono una parte indispensabile della routine digitale, sono compagni sempre presenti e sono utilizzati con crescente frequenza per lo shopping, per le transazioni bancarie oltre che per le attività professionali. Sarebbe opportuno quindi prendere precauzioni, con l’auspicio che i produttori comprendano in via definitiva l’importanza di fornire aggiornamenti o che un’adeguata legislazione imponga ai produttori l’aggiornamento tempestivo del proprio OS come vincolo per la commercializzazione del dispositivo.

Facciamo chiarezza

Indubbiamente gli utenti di tablet e smartphone Android ad oggi percepiscono poco quanto i propri dati (contatti / foto), la navigazione (phishing, infezioni drive-by, dirottamento delle sessioni) e le proprie transazioni bancarie o gli acquisti compiuti tramite device mobili siano a rischio. E’ tuttavia un dato di fatto che la situazione sia ben più allarmante di quanto a volte ipotizzato da alcuni quotidiani o testate generaliste e, di recente, da Altroconsumo, che in un recente articolo (copertina novembre 2017) sminuisce purtroppo l’oggettiva vulnerabilità di Android infondendo nei lettori un’imprudenza ingiustificata nei confronti di un livello di rischio tanto più serio quanto più obsoleto il sistema operativo utilizzato. Ricordiamo che in Italia solo poco più del 30% degli utenti di smartphone e tablet Android si avvale di Nougat (Fonte: Statcounter).

Il 70% degli utenti Android in Italia usa un sistema operativo obsoleto. Fonte: Statcounter

L’articolo di Altroconsumo conclude peraltro che l’allarmismo sull’attuale diffusione dei malware sia generato dai vendor per avvantaggiarsene e che, senza purtroppo illustrare minimamente come siano stati condotti i test, le soluzioni dei più noti produttori comunque non sarebbero in grado di proteggere gli utenti. Ciò, nonostante organizzazioni indipendenti di fama mondiale, come AV-Test, verifichino e certifichino ininterrottamente la capacità di numerosissime applicazioni di prevenire e/o bloccare anche le minacce più complesse.

Dati alla mano, oltre che per coscienza verso gli utenti Android, non possiamo che distanziarci pubblicamente da contenuti di siffatta natura.

Continua a leggere

AV-TEST: protezione perfetta con G DATA Mobile Internet Security


La soluzione mobile ha rilevato il 100 per cento delle attuali minacce al sistema operativo Android.

Bochum (Germania) – Nell’ultimo test comparativo effettuato, AV-TEST ha analizzato 20 soluzioni di sicurezza per il sistema operativo Android, di cui ha valutato il livello di resistenza contro le attuali minacce. G Data Mobile Internet Security ha rilevato il 100 per cento di tutti i malware utilizzati nel test. Pieni voti attribuiti anche per facilità d’uso e le utili funzionalità aggiuntive. Ne consegue che G Data Mobile Internet Security ha ottenuto il massimo punteggio ottenibile, assicurandosi una collocazione ai vertici della classifica e l’ambita certificazione AV-TEST.

Attraverso scenari di test realistici, AV-TEST analizza le applicazioni di sicurezza per dispositivi mobili e il loro comportamento rispetto alle attuali minacce. Nello specifico, l’Istituto mette alla prova le capacità della soluzione utilizzando tutte le funzionalità che essa offre e testandone il grado di protezione a tutti i livelli.

Tra i criteri salienti del test anche la valutazione dell’impatto della app sull’uso dello smartphone, la possibilità di cifrare il traffico dati generato attraverso rete mobile o hotspot wifi aperti, l’efficacia del controllo genitoriale sulla navigazione.

“Le minacce per i dispositivi Android sono in costante aumento. L’uso di soluzioni efficaci per la protezione di smartphone e tablet offre sicurezza. I test eseguiti da AV-TEST mostrano quali prodotti garantiscono la migliore protezione “, ha dichiarato Andreas Marx, CEO di AV-TEST. “In questo frangente, G DATA Mobile convince regolarmente ottenendo ottimi voti in tutte le categorie di test.”

Anche Dragomir Vatkov, responsabile del Product Management di G DATA sa che il miglioramento continuo della soluzione di sicurezza è un criterio chiave per garantire la migliore protezione possibile agli utenti di device Android. “I risultati dei test condotti da AV-TEST confermano regolarmente il valore della nostra soluzione G Data Mobile Internet Security”, afferma Vatkov.”Il test attuale della nostra soluzione documenta inequivocabilmente che le nostre tecnologie di sicurezza proteggono gli utenti in modo affidabile contro le minacce informatiche. Siamo particolarmente soddisfatti che il nostro impegno quotidiano nella lotta al cybercrime dia i suoi frutti”.

Dettagli del Test:

  • Soluzioni di sicurezza testate: 20 inclusa G DATA Mobile Internet Security
  • Piattaforma / Sistema operativo: Android
  • Periodo: Maggio 2017
  • Eseguito da: AV-TEST

Sicurezza Mobile efficace sempre più essenziale

L’analisi dello status quo della sicurezza mobile condotta nel primo trimestre 2017 ha rivelato che i criminali informatici puntano a dispositivi mobili con crescente frequenza, perché molti utenti eseguono transazioni bancarie o fanno acquisti tramite smartphone o tablet. Una app di sicurezza per device Android dovrebbe includere sia un antivirus che tuteli contro trojan, virus e altri malware ma anche una protezione della navigazione e strumenti antiphishing a tutela degli utenti contro e-mail e siti web pericolosi.

G Data Mobile Internet Security assicura una protezione affidabile e completa per  dispositivi dotati di sistema operativo Android. Oltre a fornire protezione contro malware, applicazioni malevole e pericoli derivanti dalla navigazione mobile, la app di sicurezza intelligente tutela gli utenti contro le conseguenze fatali di perdita o furto del dispositivo: gli smartphone possono essere tracciati ed è possibile eliminare a distanza tutti i dati in essi memorizzati allo scopo di impedirne l’accesso da parte di terzi.

G DATA Mobile Internet Security: una panoramica

  • Protezione contro phishing e siti web dannosi attraverso un sistema di rilevazione cloud-based.
  • Protezione contro applicazioni pericolose: il controllo delle app verifica i diritti richiesti dalle stesse e avvisa qualora si installi una app particolarmente “curiosa”
  • Protezione contro malware per Android: grazie alla connessione al cloud, il sistema di scansione avanzata è sempre aggiornato alla versione attuale. L’analisi non ha alcun impatto sulle prestazioni del dispositivo e riconosce programmi malevoli.
  • Protezione contro la perdita o furto del dispositivo: qualora smartphone o tablet vengano smarriti o sottratti, tutti i dati ivi archiviati possono essere eliminati, il dispositivo può essere localizzato e bloccato.
  • Funzionalità di parental control estese e personalizzabili garantiscono un uso sicuro del dispositivo anche ai più piccoli
  • Il modulo VPN opzionale protegge contro il furto di dati all’interno di reti pubbliche

Continua a leggere

Criminali a caccia dei vostri punti fedeltà e non solo


logo-claim-2015-3c-highresI programmi fedeltà con le rispettive carte sono molto apprezzati anche nel nostro Paese. Non stupisce quindi l’interesse dei cybercriminali nei dati dei detentori di tali carte fedeltà. I G DATA Security Labs hanno analizzato alcuni dei numerosi attacchi di phishing ai danni dei possessori della carta Payback, che in Germania è ormai tanto importante quanto la tessera sanitaria o il bancomat. Ecco come proteggersi nel caso in cui si fosse oggetto di campagne di phishing volte a carpire i vostri dati.

Bochum – Le carte fedeltà con raccolta punti tramite cui l’emittente accorda sconti presso i più diversi negozi o premi tramite catalogo ai propri utenti sono da sempre oggetto di discussione. Seppure molti trovino sgradevole il fatto che si consenta oggettivamente a terzi di analizzare le proprie abitudini d’acquisto, specie se la carta fedeltà è impiegabile in più negozi, i più se ne dimenticano a fronte dei premi e/o dell’indubbio risparmio che deriva dalla raccolta punti. G DATA ha analizzato alcune recenti campagne di phishing ai danni degli utenti di carte Payback in Germania, il cui obiettivo era proprio la raccolta dei dati personali dei detentori.

Sembra legittima ma non lo è: la mail di phishing

Come ammesso dalla stessa Payback, le email relative all’ultima campagna di phishing erano fatte davvero molto bene. A prima vista i messaggi appaiono legittimi, sebbene il mittente si sia firmato come “Payback.de Service” in luogo della firma ufficiale sulle comunicazioni Payback che si limita ad un “Payback Service” senza alcuna indicazione geografica.

gdata_blog_payback_scam_email1_v1_78012w526h900

 

Altra fonte che assicura credibilità al messaggio è che il destinatario indicato è corretto.

Il nome menzionato corrisponde ai dati reali così come l’indirizzo email citato nella sezione “Il tuo account Payback”. Salvo per alcune eccezioni le email analizzate presentano un layout identico ai messaggi originali di Payback. Sono davvero pochi e facilmente sorvolabili gli elementi che consentono all’utente di riconoscere che si tratta di un falso.

Gli indicatori della frode

  • Il dominio del mittente reale non corrisponde a quello del mittente presunto.
  • Il 15 ° anniversario di Payback Germania, promosso nei messaggi analizzati, è stato nel 2015. La “promozione anniversario” era scaduta da tempo al momento dell’invio della mail, Payback Germania esiste ormai da oltre 16 anni.
  • Il testo, accattivante ma generico, recita “clicca qui e raddoppia i tuoi punti”. Una mail ufficiale avrebbe presentato una formulazione tipo: “Assicurati la chance di raddoppiare i tuoi punti” con un probabile collegamento alla landing page di un gioco a premi, non direttamente alla pagina per il login.
  • Il carattere attorno al pulsante su cui cliccare è differente rispetto al resto del testo della email.
  • Le URL collegate al pulsante non hanno nulla a che vedere con il programma Payback.
  • Spesso e volentieri le offerte stagionali promosse dai cybercriminali sono completamente fuori luogo, come nel caso di offerte estive inviate in pieno inverno o promozioni per anniversari già passati o ancora da venire.

I siti di phishing

Le email analizzate indirizzavano i destinatari a due differenti siti web. I domini sono stati scelti accuratamente per lo scopo prefissato e chi non vi presta attenzione cade facilmente nella trappola senza sospettare niente:

• paybrack.pw
• paybaecks.pw

Al momento dell’analisi, entrambi i domini, ora offline, erano ospitati sullo stesso server presso la BlazingFast LLC, un servizio di hosting ubicato in Ucraina.

Entrambi i siti web si presentavano esattamente identici al sito Payback.

gdata_blog_payback_scam_website_copy_v1_78009w941h589

L’unica differenza è che il modulo in cui inserire i propri dati di accesso non era l’originale. I dati lì inseriti non venivano inoltrati a Payback ma ad un server controllato dai cybercriminali: www. loginpage .online. Tale dominio, ora offline, era ospitato negli USA e risultava anch’esso di proprietà della BlazingFast LLC.
Una rapida ricerca tramite dei più popolari motori di ricerca mostra che l’azienda non sia proprio priva di macchia. Riguardo alla conduzione di queste attività di phishing si specula che i criminali si siano avvalsi di siti hackerati. Il primo server infatti ospitava in realtà la pagina di un rivenditore brasiliano di impianti per l’aria condizionata. La pagina web risulta spesso coinvolta in attacchi di phishing di cui uno addirittura lanciato di recente contro i clienti di una banca brasiliana.

Quali sono i pericoli di questo tipo di phishing?

In generale si sottovalutano i rischi legati ad un accesso indesiderato al proprio account per la gestione dei punti della carta fedeltà, infondo si raccolgono solo punti. Purtroppo non è così, dietro a quell’account si nascondono informazioni di enorme valore per i cybercriminali e addirittura moneta sonante.

  1. Le emittenti di tali carte fedeltà necessitano dei dati personali per poter inviare i premi e per mantenere in funzione il proprio modello di business. Oltre ai nominativi completi spesso e volentieri sono richiesti la data di nascita, l’indirizzo di casa, il numero di telefono e, nei casi in cui sia previsto un rimborso in denaro, anche i dettagli bancari. Una volta ottenuti i dati per effettuare il login tramite phishing, i cybercriminali accedono indisturbati a tutti questi dati, li utilizzano o li rivendono.
  2. Una volta effettuato l’accesso, i criminali possono anche letteralmente svuotare il conto punti. Possono farsi recapitare i premi facendoli inviare a prestanomi per poi rivenderli, possono girare i punti su altri account di programmi fedeltà dei partner dell’emittente della carta (p.es. farsi dare il corrispettivo in miglia) o farsi emettere voucher e buoni sconto, per acquisti in qualsiasi negozio legato al circuito della carta fedeltà.

Consigli e suggerimenti

  • Se non lo avete ancora fatto, modificate la modalità di accesso al vostro conto impostandola su nome utente e password (da cambiarsi regolarmente) al posto della combinazione di numero cliente e codice avviamento postale o data di nascita, dato che questi ultimi elementi sono più facilmente reperibili da parte dei cyber criminali.
  • Valutate se è davvero necessario ricevere la newsletter del programma fedeltà. Se decidete di disabbonarvi dal servizio newsletter, quando riceverete eventuali offerte non potranno che suonare le sirene d’allarme.
  • Diffidate da offerte che sembrano troppo belle per essere vere (tipo raddoppia i tuoi punti ora!) e verificatene la reale esistenza andando direttamente sul sito dell’emittente della carta, senza cliccare alcun link della mail.
  • Verificate sempre la corrispondenza tra il dominio del mittente ipotetico e quello realmente utilizzato. Qualora non corrisponda a quello di solito impiegato dall’emittente della carta, non date seguito alcuno a tale messaggio.

Continua a leggere