Il Phishing, la tecnica di attacco basata sull’inganno più diffusa in rete, fa chiaramente uso di brand famosi per colpire l’attenzione delle sue potenziali vittime e per aprire una breccia nelle loro difese.
Le tecniche di inganno stanno diventando sempre più sofisticate, e da un Phishing di tipo massivo (tecnicamente Spray Phishing), i Criminali Cyber, tendono sempre di più ad utilizzare tecniche ritagliate sulle specificità e i punti di debolezza delle loro vittime (tecnicamente Spear Phishing).
Per fare questo i criminali utilizzano approcci più o meno sofisticati di “ingegneria sociale“, raccogliendo informazioni sulle loro potenziali vittime e studiando messaggi che in questi specifici contesti risultino più efficaci.
In questo caso il target è rappresentato dai tanti “commercianti” che utilizzano Amazon come “mercato” per i loro prodotti o che utilizzano servizi di Amazon, come Amazon Pay Services, per aumentare le vendite dei loro negozi elettronici.
Su questo tipo di target, che fa affari attraverso Amazon, un messaggio abbastanza perentorio che sollecita l’aggiornamento dei dati dell’account, pena la sospensione dei servizi Amazon, non può che creare attenzione e soprattutto apprensione, favorendo un abbassamento delle difese. Una volta forniti i dati richiesti il danno commesso sarà enorme e il rischio di subire una truffa altamente probabile (per non dire certo).
Eppure gli indizi per rendersi conto che si tratta di un attacco Phishing ci sono tutti. Per prima cosa il mittente (1), che non ha nulla a che vedere con Amazon. Poi c’è il senso di urgenza e di pressione (2), con il continuo riferimento ad “ultimatum” temporali e alle conseguenze a cui si verrebbe esposti nel caso non vengano fornite le informazioni richieste. Poi ci sono gli errori ortografici — tipici di traduzioni fatte male o comunque di messaggi prodotti in modo automatico.
La richiesta perentoria di fornire informazioni sensibili (3) in tempi brevi è essa stessa un chiaro indizio del tentativo di truffa, per non parlare dell’allegato, una pagina html pronta per girare i dati forniti all’organizzazione criminale.
Infine, la firma (4), molto generica, senza alcuna informazione di contatto.
Quindi il suggerimento è sempre quello di usare grande attenzione e cautela rispetto a mail che richiedono informazioni sensibili da fornire in tempi rapidi. E soprattutto di effettuare banali controlli, come quelli descritti qui sopra, alla ricerca di indizi che normalmente sono presenti nelle mail di Phishing. Una volta maturato il sospetto che si possa trattare di un’operazione di Phishing, evitare di fare azioni che potrebbero compromettere la propria Privacy e la propria Sicurezza (o quella della propria organizzazione).
Prima di concludere ci sembra doveroso sottolineare che Amazon non ha nulla a che vedere con questo tipo di attacco, ma che ne è essa stessa vittima a sua insaputa.
Per saperne di più su come proteggere te e la tua organizzazione dagli attacchi Phishing.
