Intel Security ha rilasciato oggi i risultati del Phishing Quiz, un’indagine volta a testare la conoscenza e l’abilità degli utenti nel riconoscere le email di phishing. Il quiz, formato da 10 email realizzate da Intel Security, chiede agli utenti di identificare quali di esse sono email legittime e quali sono esemplari di phishing progettati per carpire informazioni riservate. Tra i circa 19mila partecipanti di 144 paesi, solo il 3% è stato in grado di identificare correttamente tutti e 10 gli esempi, mentre l’80% non ha identificato almeno una email di phishing, una condizione sufficiente per cadere vittima di un attacco.
I truffatori informatici usano il phishing per indirizzare gli utenti verso sti web appositamente realizzati per rubare loro dati personali. Con l’inganno fanno digitare loro nome, indirizzo, dati di login, password e dettagli della carta di credito su siti che sembrano quelli di enti o aziende legittime. In alcuni casi, anche solo cliccando sul link inserito nell’email il malware viene scaricato automaticamente sul dispositivo dell’utente. E, una volta installato, gli hacker possono facilmente rubare le informazioni a insaputa della vittima.
A livello globale, i risultati migliori sono stati dati dal gruppo di età 35-44, che ha risposto esattamente in media al 68% delle domande. Inoltre, le donne di meno di 18 anni e di più di 55 sembrano avere più difficoltà nel distinguere tra email legittime e false, individuando correttamente sei messaggi su dieci. Nel complesso, gli uomini hanno dato risposte un po’ più corrette rispetto alle donne, con un tasso di precisione del 67% a fronte del 63% tra le donne.
I più a rischio? Gli Stati Uniti
Dei 144 paesi inclusi nella ricerca, gli Stati Uniti si sono classificati al 27esimo posto, con il 68% di accuratezza nel rilevare il phishing. I cinque paesi con i migliori risultati sono stati Francia (1), Svezia (2), Ungheria (3), Paesi Bassi (4) e Spagna (5).
Anche i messaggi di posta elettronica legittimi possono essere ingannevoli
È interessante notare che dal sondaggio è emerso che l’email più spesso erroneamente identificata era in realtà un’email legittima. Si trattava di un’email che suggeriva al destinatario di richiedere “i propri annunci gratuiti.” Spesso si associano offerte a premi gratuiti con il phishing o lo spam e probabilmente è stato questo il motivo per cui un gran numero di persone ha identificato erroneamente questo messaggio.
“Spesso il phishing sembra provenire da siti credibili, ma è progettato per ingannare l’utente e spingerlo a condividere le proprie informazioni personali – ha dichiarato Gary Davis, Chief Consumer Security Evangelist di Intel Security – E’ bene osservare sempre con attenzione le email e controllare gli indizi tipici di phishing, tra cui grafica scarna ed errori di grammatica, o altri indizi che potrebbero indicare che la mail è stata inviata da un truffatore“.
Cosa fare per proteggersi:
Mantenere il software di sicurezza e il browser aggiornati.
Passare con il mouse sopra i link per accorgersi subito quando sono falsificati; verificare che un collegamento inserito nel testo conduca esattamente al sito che propone di essere.
Prendersi del tempo per controllare le email, alla ricerca di segnali di pericolo: parole non corrette, URL errati, immagini non professionali e sospette e mittenti non riconosciuti.
Invece di fare clic su un link fornito in un’email, visitare il sito web della società che avrebbe dovuto essere il mittente dell’email per assicurarsi che l’affare pubblicizzato sia presente anche sulla home page o sul sito del rivenditore.
Cosa NON fare:
NON fare clic su un link in un’email inviata da mittenti sconosciuti o sospetti.
NON inviare un’email che sembra sospetta ad amici o parenti, un atteggiamento poco prudente che potrebbe trasmettere un attacco di phishing ai propri cari inconsapevoli.
NON scaricare il contenuto che il browser, o l’avviso del software di sicurezza, indicano come dannoso.
NON immettere informazioni personali come il numero della carta di credito, l’indirizzo di casa o il numero di previdenza sociale su un sito o rispondendo a un’email che si ritiene sospetta.