Phishing: come difendersi da un phishing attack

Valentina
Scritto da: Valentina
Guide 0
phishing

Chi non ha mai sentito parlare di phishing?
Si tratta di una tipologia di truffa telematica molto diffusa. E – purtroppo – anche piuttosto invasiva.
Se non ci credi, controlla la tua casella di posta elettronica.
Oltre ai classici messaggi spam di pubblicità non richiesta, troverai decine e decine di email sospette.
Richieste di dati riservati, come numeri di carte di credito e password bancarie, inviate da enti oppure istituti (almeno apparentemente) affidabili.

Magari conosci già l’argomento. O addirittura qualcuno che può riportare un’esperienza diretta.
In ogni caso, siamo qui per darti qualche indicazione in più. Suggerimenti utili, da mettere subito in pratica per evitare situazioni spiacevoli.

Definizione di phishing

Si scrive phishing ma si pronuncia fishing, proprio come il verbo inglese to fish (pescare). E non è una coincidenza.
Il termine rende benissimo l’idea. Perché quando si parla di frode ci sono, sempre, almeno due attori protagonisti. Cioè un truffatore e colui che abbocca all’amo.

Ma che cos’è il phishing? In cosa consiste e come funziona?
In pratica, è una forma di adescamento. Più frequentemente e-mail usate per ottenere le informazioni personali o finanziarie di un utente.

Il phishing è il tipo di attacco informatico più semplice, eppure è anche il più pericoloso ed efficace, poiché colpisce il computer più potente e vulnerabile del mondo: la mente umana.

Adam Kujawa

Si presentano come notifiche provenienti da quelle che sembrerebbero fonti attendibili. Come abbiamo anticipato nell’introduzione… istituti bancari, assicurativi, provider, sistemi di pagamento online, eccetera.
In genere, a chi riceve il messaggio viene richiesto di aggiornare o fornire dati riservati tramite apposito link allegato.
Naturalmente, il collegamento in questione rimanda ad un sito web fasullo, ma replicato ad arte. Tanto da apparire autentico.
Doppio paletto rosso. Il sito potrebbe anche contenere virus.

Che cos’è lo spear fishing

phishing attack

Insomma, il fishing serve ad estorcere informazioni o denaro. Qui non ci piove. Ma veniamo ad un’altra questione fondamentale.
Chi sono i destinatari di questa estorsione?
Di solito, utenti semplici. Utenti che non hanno altra colpa che quella di navigare in Internet.
Basta guardare il tipo di messaggi inviati. Tutti uguali e spediti ad una enorme quantità di indirizzi di posta elettronica. Spesso reperiti tramite generatori automatici o acquistati in maniera illegale.

Altra questione è quella del cosiddetto spear fishing.
In questo caso le email hanno obiettivi mirati come organizzazioni, gruppi o individui specifici.
I contenuti dell’avviso risultano credibili perché personalizzati. Testo e layout creati ad hoc. Con presenza di inesattezze praticamente assente.

Esempi di phishing attack

Dalla teoria alla pratica. Non vogliamo limitarci al classico spiegone fine a se stesso.
Quello del phishing è un problema serio. Che interessa milioni di internauti ogni giorno. Senza considerare che l’Italia è – purtroppo – nella top ten dei Paesi più colpiti.
Dunque, ci teniamo ad approfondire il discorso con un espediente che risulta sempre illuminante. L’esempio.
Ne abbiamo identificati 3 particolarmente istruttivi.
Da’ un’occhiata.

  • Poste Italiane
    Nel 2019 vari clienti di Poste Italiane sono rimaste vittime di fishing telefonico tramite SMS. In gergo, smishing.
    Il messaggio invitava ad aggiornare i propri dati “al nuovo sistema PSD2” per evitare il blocco delle utenze postali.
  • Netflix
    Anche la famosa piattaforma americana ha avuto problemi di questo genere. Era nel 2017 e milioni di abbonati si sono visti arrivare una e-mail con il seguente incipit: “Gentile cliente, stiamo avendo problemi con i tuoi dati di fatturazione, per eseguire di nuovo il login occorre aggiornare l’account”.
  • WhatsApp
    Gli hacker non si sono fermati nemmeno per l’emergenza da Covid 19. Il messaggio incriminato?
    Alquanto familiare: “Saluti da WhatsApp! Il tuo numero di telefono non è registrato su questo dispositivo. Clicca sul link per attivare il numero di telefono”.

Come difendersi

come difendersi dal phishing

I pirati informatici sono sempre più astuti, ma l’utente ha diversi assi nella manica. Insomma, non bisogna lasciarsi andare alla rassegnazione.
La prima cosa che, ovviamente, consigliamo di fare è quella di puntare sulla prevenzione.
Come? Nei modi che tutti sappiamo.
Con un buon antivirus e continui aggiornamenti del browser.
D’altra parte, occorre tenere gli occhi aperti. Metterci un po’ di impegno.
Ecco, allora, qualche suggerimento pratico per combattere attivamente i vari phishing attack.

  • Come recita un vecchio detto popolare “fidarsi è bene, non fidarsi è meglio”. Questo non vuole essere un inno alla diffidenza.
    Ma tieni presente che dati sensibili, come chiavi di accesso al servizio home banking e codici di carte di credito, non vanno consegnati al primo che capita. Specialmente online.
  • Spesso i messaggi di phishing contengono errori. Anche semplici sviste grammaticali o di traduzione.
    Controlla con cura.
  • Verifica la validità dell’URL. E se il mittente presenta un nome o un’intestazione poco chiare… controlla sui motori di ricerca.
  • Non cliccare su link, allegati o file eseguibili. Sembrerebbe inutile ribadirlo ma noi lo facciamo. Potrebbero contenere trojan horse o worm.

Chiudiamo questo paragrafo con un ultimo invito.
Quello di non fidarsi di email generiche (cioè non personalizzate) e contenenti messaggi intimidatori.

Cosa fare dopo un phishing attack

Partiamo dall’ipotesi peggiore. Ci sei cascato con tutte le scarpe.
Hai consegnato i tuoi dati personali ad un sito fake. E ora?
Mantieni la calma. Non tutto è perduto.
Funziona esattamente come quando ti rubano o perdi la carta di credito.
In primis, contatta il servizio assistenza dell’ente/istituto per cui hai subito la frode. Spiega l’accaduto e ti diranno cosa fare.
Certamente, se ricevi contenuti phishing nell’email è importante giocare sulla tempestività.

Attenzione, però. C’è anche un secondo passaggio da compiere e riguarda il senso di responsabilità condivisa.
Ricorda che i reati informatici non sono reati di serie B.
Dunque vanno denunciati a chi di dovere… nel nostro caso alla Polizia Postale.

Conclusioni

Siamo giunti al termine di questo viaggio. E ci auguriamo di non aver disatteso le aspettative.
Ma abbiamo un ultimo suggerimento per te.
Se desideri saperne di più leggi il volume Phishing e furto di identità digitale. Indagini informatiche e sicurezza bancaria di F. Cajani, G. Costabile e G. Mazzaraco.
Troverai gli approfondimenti tecnici di veri esperti del settore.

Per altre domande, dubbi o chiarimenti di ogni tipo ci siamo noi di MailSenpai.
Contattaci e saremo felici di risponderti.

Condividi:
Valentina
Valentina

Sono una content editor felice. Vivere della propria passione è una fortuna. Ed io ringrazio Apollo, padre di Pollon, dio greco della letteratura, della conoscenza e del sole.

Articolo precedente

Affiliate marketing: il modo alternativo per fare soldi
Articolo successivo

Frasi marketing e commerciali: le 23 più strategiche

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Puoi usare questi tag e attributi HTML: <a href=""> <abbr> <acronym> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Questo Sito utilizza cookie tecnici necessari per il corretto funzionamento dello stesso, nonché cookie statistici e di profilazione anche di terze parti.
Se vuoi negare il consenso puoi cliccare sulla “X” e questo consentirà la continuazione della navigazione
in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
Se vuoi accettare tutti i cookie clicca su “accetta tutto”.

Accetta tutto Personalizza Rifiuto
Centro privacy Informativa cookie
Privacy Settings saved!
Impostazioni

Quando visiti un sito Web, esso può archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookies. Controlla qui i tuoi servizi di cookie personali.

Necessario Analitico Marketing Centro Privacy Informativa sui cookie
Questi cookie sono necessari per il funzionamento del sito Web e non possono essere disattivati nei nostri sistemi.
Cookie tecnici
Per utilizzare questo sito Web utilizziamo i seguenti cookie tecnicamente necessari
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
  • _GRECAPTCHA
Quform
Utilizziamo Quform Plugin per tutti i moduli di contatto sul nostro sito web. Questo memorizza un token di sicurezza.
  • quform
Rifiuta tutti i Servizi
Accetta tutti i Servizi