Chi non ha mai sentito parlare di phishing?
Si tratta di una tipologia di truffa telematica molto diffusa. E – purtroppo – anche piuttosto invasiva.
Se non ci credi, controlla la tua casella di posta elettronica.
Oltre ai classici messaggi spam di pubblicità non richiesta, troverai decine e decine di email sospette.
Richieste di dati riservati, come numeri di carte di credito e password bancarie, inviate da enti oppure istituti (almeno apparentemente) affidabili.
Magari conosci già l’argomento. O addirittura qualcuno che può riportare un’esperienza diretta.
In ogni caso, siamo qui per darti qualche indicazione in più. Suggerimenti utili, da mettere subito in pratica per evitare situazioni spiacevoli.
In pochi punti:
Definizione di phishing
Si scrive phishing ma si pronuncia fishing, proprio come il verbo inglese to fish (pescare). E non è una coincidenza.
Il termine rende benissimo l’idea. Perché quando si parla di frode ci sono, sempre, almeno due attori protagonisti. Cioè un truffatore e colui che abbocca all’amo.
Ma che cos’è il phishing? In cosa consiste e come funziona?
In pratica, è una forma di adescamento. Più frequentemente e-mail usate per ottenere le informazioni personali o finanziarie di un utente.
Il phishing è il tipo di attacco informatico più semplice, eppure è anche il più pericoloso ed efficace, poiché colpisce il computer più potente e vulnerabile del mondo: la mente umana.
Adam Kujawa
Si presentano come notifiche provenienti da quelle che sembrerebbero fonti attendibili. Come abbiamo anticipato nell’introduzione… istituti bancari, assicurativi, provider, sistemi di pagamento online, eccetera.
In genere, a chi riceve il messaggio viene richiesto di aggiornare o fornire dati riservati tramite apposito link allegato.
Naturalmente, il collegamento in questione rimanda ad un sito web fasullo, ma replicato ad arte. Tanto da apparire autentico.
Doppio paletto rosso. Il sito potrebbe anche contenere virus.
Che cos’è lo spear fishing
Insomma, il fishing serve ad estorcere informazioni o denaro. Qui non ci piove. Ma veniamo ad un’altra questione fondamentale.
Chi sono i destinatari di questa estorsione?
Di solito, utenti semplici. Utenti che non hanno altra colpa che quella di navigare in Internet.
Basta guardare il tipo di messaggi inviati. Tutti uguali e spediti ad una enorme quantità di indirizzi di posta elettronica. Spesso reperiti tramite generatori automatici o acquistati in maniera illegale.
Altra questione è quella del cosiddetto spear fishing.
In questo caso le email hanno obiettivi mirati come organizzazioni, gruppi o individui specifici.
I contenuti dell’avviso risultano credibili perché personalizzati. Testo e layout creati ad hoc. Con presenza di inesattezze praticamente assente.
Esempi di phishing attack
Dalla teoria alla pratica. Non vogliamo limitarci al classico spiegone fine a se stesso.
Quello del phishing è un problema serio. Che interessa milioni di internauti ogni giorno. Senza considerare che l’Italia è – purtroppo – nella top ten dei Paesi più colpiti.
Dunque, ci teniamo ad approfondire il discorso con un espediente che risulta sempre illuminante. L’esempio.
Ne abbiamo identificati 3 particolarmente istruttivi.
Da’ un’occhiata.
- Poste Italiane
Nel 2019 vari clienti di Poste Italiane sono rimaste vittime di fishing telefonico tramite SMS. In gergo, smishing.
Il messaggio invitava ad aggiornare i propri dati “al nuovo sistema PSD2” per evitare il blocco delle utenze postali. - Netflix
Anche la famosa piattaforma americana ha avuto problemi di questo genere. Era nel 2017 e milioni di abbonati si sono visti arrivare una e-mail con il seguente incipit: “Gentile cliente, stiamo avendo problemi con i tuoi dati di fatturazione, per eseguire di nuovo il login occorre aggiornare l’account”. - WhatsApp
Gli hacker non si sono fermati nemmeno per l’emergenza da Covid 19. Il messaggio incriminato?
Alquanto familiare: “Saluti da WhatsApp! Il tuo numero di telefono non è registrato su questo dispositivo. Clicca sul link per attivare il numero di telefono”.
Come difendersi
I pirati informatici sono sempre più astuti, ma l’utente ha diversi assi nella manica. Insomma, non bisogna lasciarsi andare alla rassegnazione.
La prima cosa che, ovviamente, consigliamo di fare è quella di puntare sulla prevenzione.
Come? Nei modi che tutti sappiamo.
Con un buon antivirus e continui aggiornamenti del browser.
D’altra parte, occorre tenere gli occhi aperti. Metterci un po’ di impegno.
Ecco, allora, qualche suggerimento pratico per combattere attivamente i vari phishing attack.
- Come recita un vecchio detto popolare “fidarsi è bene, non fidarsi è meglio”. Questo non vuole essere un inno alla diffidenza.
Ma tieni presente che dati sensibili, come chiavi di accesso al servizio home banking e codici di carte di credito, non vanno consegnati al primo che capita. Specialmente online.
- Spesso i messaggi di phishing contengono errori. Anche semplici sviste grammaticali o di traduzione.
Controlla con cura. - Verifica la validità dell’URL. E se il mittente presenta un nome o un’intestazione poco chiare… controlla sui motori di ricerca.
- Non cliccare su link, allegati o file eseguibili. Sembrerebbe inutile ribadirlo ma noi lo facciamo. Potrebbero contenere trojan horse o worm.
Chiudiamo questo paragrafo con un ultimo invito.
Quello di non fidarsi di email generiche (cioè non personalizzate) e contenenti messaggi intimidatori.
Cosa fare dopo un phishing attack
Partiamo dall’ipotesi peggiore. Ci sei cascato con tutte le scarpe.
Hai consegnato i tuoi dati personali ad un sito fake. E ora?
Mantieni la calma. Non tutto è perduto.
Funziona esattamente come quando ti rubano o perdi la carta di credito.
In primis, contatta il servizio assistenza dell’ente/istituto per cui hai subito la frode. Spiega l’accaduto e ti diranno cosa fare.
Certamente, se ricevi contenuti phishing nell’email è importante giocare sulla tempestività.
Attenzione, però. C’è anche un secondo passaggio da compiere e riguarda il senso di responsabilità condivisa.
Ricorda che i reati informatici non sono reati di serie B.
Dunque vanno denunciati a chi di dovere… nel nostro caso alla Polizia Postale.
Conclusioni
Siamo giunti al termine di questo viaggio. E ci auguriamo di non aver disatteso le aspettative.
Ma abbiamo un ultimo suggerimento per te.
Se desideri saperne di più leggi il volume Phishing e furto di identità digitale. Indagini informatiche e sicurezza bancaria di F. Cajani, G. Costabile e G. Mazzaraco.
Troverai gli approfondimenti tecnici di veri esperti del settore.
Per altre domande, dubbi o chiarimenti di ogni tipo ci siamo noi di MailSenpai.
Contattaci e saremo felici di risponderti.