Cosa è il phishing e come possiamo difenderci?
Con il termine phishing ci si riferisce a quell’attività informatica criminale in grado di ingannare gli utenti inducendoli a condividere informazioni sensibili, come password o numeri di carte di credito, tramite il ricorso a e-mail, SMS o link che sembrano provenire da fonti o siti attendibili.
Troppo spesso si cade nel tranello di una falsa e-mail o SMS (phishing) che richiede di visitare un link, ad esempio per aggiornare o bloccare un servizio. Purtroppo quel link porterà a una pagina identica a quella del tuo account ma, una volta inseriti i dati, questi saranno acquisiti da hacker senza scrupoli che potrebbero utilizzarli per svolgere operazioni a tuo nome.
Il funzionamento del phishing è molto subdolo e, a dispetto di quel che si potrebbe pensare, le vittime di tale truffa non sono sempre persone che hanno scarsa familiarità con gli strumenti informatici, basta una semplice disattenzione o un eccesso di fiducia ed ecco che da un giorno all’altro ci si potrebbe trovare con il proprio conto corrente svuotato di tutti i fondi.
Il funzionamento, dicevamo, è estremamente semplice e si basa sull’invio alla vittima di una e-mail, un SMS o un link che imita e falsifica alla perfezione una realtà aziendale, societaria od organizzativa di alto livello, come può essere il proprio istituto bancario, l’azienda per la quale si lavora o l’e-commerce preferito.
Secondo le statistiche del settore le e-mail di phishing sono ancora il mezzo più utilizzato quindi a titolo esemplificativo prendiamo in considerazione queste.
Nella e-mail che si riceverà sarà presente un messaggio testuale volto a spaventare la vittima paventando la presenza di improvvisi problemi e criticità a cui porre rimedio il più presto possibile cliccando su un apposito link, fasullo, riportato in calce al testo.
Nel momento stesso in cui l’utente decide di cliccare sul suddetto link, verrà reindirizzato su un’imitazione pressoché perfetta di un determinato sito web originale e sarà quindi portato a inserire le proprie credenziali d’accesso le quali, però, saranno immediatamente trasmesse al criminale di turno con tutti i pericoli che è facile immaginare.
Che danno può produrre un attacco phishing?
L’errore concettuale in cui spesso si cade quando si parla di phishing è quello di considerarlo come una delle tante minacce informatiche paragonabili alle classiche e-mail di spam, in realtà si tratta di due fenomeni ben distinti tra di loro.
È assolutamente vero che tra spam e phishing esiste una stretta correlazione, tuttavia quest’ultimo è ben più insidioso poiché presenta delle conseguenze che possono intaccare non solo la persona stessa, ma persino l’ambiente in cui vive e/o lavora.
Tra i danni più frequenti del phishing c’è senza alcun dubbio il furto di identità. Quando si parla di organizzazioni criminali è abbastanza comune che il furto di informazioni personali sia finalizzato alla loro vendita, ma spesso vengono utilizzate anche per compiere attività criminali e/o illegali.
Un’altra conseguenza del phishing è la perdita economica diretta. Immagina di aver appena ricevuto una e-mail proveniente da un indirizzo che sembra riconducibile al tuo istituto bancario e che nella suddetta mail con toni allarmistici ti venga detto di controllare il tuo conto perché sono in corso dei problemi.
Quale sarà la tua prima reazione? Ovviamente quella di cliccare su link riportato e di inserire le tue credenziali di accesso, solo che la mail non proviene dalla tua banca ma da un criminale che ora ha a sua completa disposizione tutti i tuoi fondi.
Come credi che si concluderà la vicenda? Ovviamente non bene sia per te sia per i tuoi risparmi.
Ma se vedersi svuotato il proprio conto non è propriamente piacevole, lo è ancora meno sapere che gli attacchi di phishing sono destinati ad aumentare!
Il fine ultimo del phishing, infatti, è quello di individuare una potenziale vittima che, vuoi per inesperienza vuoi per scarsa familiarità con certe dinamiche, si presta a essere truffata in modo continuativo. Nel momento stesso in cui cadi vittima di un attacco phishing, sappi che le possibilità di ricevere altre e-mail, SMS o link simili sono altissime poiché dall’altra parte c’è qualcuno che ha ricevuto un riscontro positivo sulla truffa messa in atto.
E quanto sinora esposto riguarda esclusivamente l’individualità di una persona, ma se il tentativo di phishing ricevuto riguarda magari l’azienda per la quale si lavora?
In questo caso i danni riportati sono addirittura duplici. Non solo si rischia di mettere a repentaglio la propria posizione lavorativa andando a diffondere informazioni e dati sensibili, ma si mina anche la credibilità dell’azienda stessa con concrete possibilità di subire un licenziamento.
Come posso riconoscere e difendermi dal phishing?
La percentuale di successo di un attacco phishing si basa essenzialmente sulla capacità di replicare e falsificare il più precisamente possibile un sito o un portale autentico. Partendo da questo assunto è possibile determinare quali siano gli elementi che più dovrebbero far sorgere qualche sospetto.
Iniziamo col dire che gli attacchi phishing funzionano perché il più delle volte per distrazione o per eccesso di fiducia si tende a considerare come affidabile qualsivoglia messaggio ci arrivi tramite e-mail o SMS, proprio per questo una prima efficace arma di difesa la possiamo riscontrare in una lettura attenta e analitica del testo che ci troviamo davanti agli occhi.
Se dal testo non emergono elementi equivoci, si può passare a valutare la presenza o meno di link spesso evidenziati con toni allarmistici. È abbastanza raro che un’azienda, una società o un’organizzazione chieda a un proprio cliente di non visitare direttamente il sito proprietario di riferimento, motivo per cui se è presente un link le possibilità che si tratti di phishing sono elevate.
E da ciò si deduce anche come il modo migliore per difendersi dal phishing sia quello di non cliccare automaticamente su ogni link che ci arriva, sia tramite mail sia tramite SMS, ma di preferire sempre l’inserimento manuale sul proprio browser dell’indirizzo web che ci interessa.
Da non dimenticare l’importanza di mantenere aggiornato il proprio sistema operativo provvedendo, laddove non lo sia stato fatto in passato, a installare tutti gli aggiornamenti necessari e consigliati.
Un’ulteriore basilare difesa la possiamo avere installando un antivirus professionale che magari disponga anche di una funzione di integrazione con il browser. In questo modo anche se si cliccherà sbadatamente su un link sospetto, l’antivirus provvederà a notificarci immediatamente il rischio che si sta correndo ed eviterà di aprire qualsivoglia collegamento.
Un ultimo consiglio per difendersi dal phishing? Sempre agire con prudenza e anche davanti al contenuto testuale più affidabile ricordarsi sempre di verificarne l’effettiva autenticità.
Buone abitudini per proteggere il proprio account e non cadere nelle trappole comuni
- Quando possibile, attiva l’autenticazione a doppio fattore (2FA) mediante SMS sul tuo cellulare;
- Assicurati di avere scelto una password sicura (almeno 8 caratteri, con lettere, numeri e caratteri speciali) che non contenga il tuo nome, cognome o data di nascita;
- Verifica di avere una password diversa per ogni portale e soprattutto di non utilizzare la password della casella di posta elettronica anche su altri portali;
- Modifica periodicamente la password del tuo account.
Cosa devo fare quano ricevo un email di phising?
- controlla con attenzione l’indirizzo e-mail del mittente, non il nome, ma proprio l’indirizzo e-mail! Difficilmente la banca o il tuo fornitore abituale inviano e-mail da indirizzi strani o non riconducibili a loro;
- verifica la presenza di eventuali errori di sintassi e ortografia: spesso vengono utilizzati testi standard tradotti automaticamente dall’inglese che lasciano alquanto a desiderare! Le traduzioni automatiche sono poco affidabili e facilmente riconoscibili;
- controlla se ci sono dati personali: nelle e-mail di phishing il testo è standard e poco specifico. Spesso viene indicato soltanto “Il tuo servizio è stato sospeso”, senza specificare neanche di quale servizio si tratti. Inoltre, in genere il testo non comprende formule di saluto all’inizio o alla fine oppure nome, cognome, numero di partita iva, codice cliente e così via. Questi sono tutti segnali che suggeriscono che l’e-mail non sia indirizzata direttamente a te, ma che sia più probabilmente un’e-mail generica indirizzata a più persone;
- controlla i link senza visitarli: fai clic con il tasto destro sul link e seleziona “Copia link”, quindi apri il Blocco note e incollalo lì. Con tutta probabilità farà riferimento a siti web che nulla hanno a che fare con il sedicente mittente;
- anche se l’e-mail è ben fatta e sembra lecita, non accedere al tuo account facendo clic sul link che ti viene proposto;
- se l’e-mail riguarda il ripristino della password del tuo account, assicurati che sia stato tu a inviare la richiesta: in caso contrario, cestina la mail;
Queste semplici accortezze ti aiuteranno a restare al sicuro da frodi e accessi non autorizzati.
Come riconoscere un’e-mail di phishing?
Le e-mail di phishing, come abbiamo detto, sono il mezzo preferito dai criminali informatici per attuare i loro attacchi ed è per questo che ogni nuovo messaggio dovrebbe essere letto e analizzato con perizia.
Non si tratta di una regola fissa, ma nella maggior parte dei casi per riconoscere una mail di phishing da una autentica basta controllare se nel testo sono presenti errori sintattici e/o grammaticali.
Devi sapere, infatti, che riprodurre fedelmente il linguaggio utilizzato dalle varie realtà aziendali e/o societarie è di per sé uno sforzo che i criminali informatici tendono a tralasciare per concentrarsi più sull’impatto grafico e visivo della e-mail stessa.
La presenza di errori sintattici e/o grammaticali nel testo di una e-mail indica indiscutibilmente che ci si trova davanti a una e-mail di phishing.
E laddove non ci fosse alcun errore testuale e la grafica sembra davvero essere quella autentica? In questi casi per togliersi ogni dubbio basta controllare l’indirizzo utilizzato dal mittente. Se sembra provenire da un provider non nazionale, sono presenti più destinatari o non è specificato alcun oggetto, allora si tratta di una e-mail di phishing al 100%.
Come faccio a riconoscere che sono sul sito giusto o su un sito falsificato?
Per rispondere alla domanda di cui in oggetto è opportuno iniziare da un consiglio di base: se possibile, optare sempre per un antivirus con relativa funzione di integrazione con il browser in grado quindi di notificare con immediatezza e precisione ogni collegamento sospetto e/o visite a siti truffa.
Laddove non si disponga di una soluzione simile, puoi contare su un piccolo ma fondamentale dettaglio: la presenza o meno del protocollo di trasferimento sicuro all’inizio dell’indirizzo web.
Detto in parole più semplici, se il sito che stai visitando ha un indirizzo che inizia con il prefisso https://, puoi stare sicuro che si tratta di un sito autentico. L’assenza della lettera “s” dopo http, invece, indica che il protocollo di trasferimento non è sicuro e quindi molto probabilmente ti trovi su un sito truffa.
Oltre a ciò, valgono i consigli esposti sinora. Fai particolare attenzione al contenuto testuale del sito e controlla bene che non siano presenti errori grammaticali e/sintattici, spie evidenti di un sito copia truffaldino.
Durante la navigazione su internet ho aperto un sito falsificato, come mi devo comportare?
Nel caso tu ti sia solo limitato ad aprire il sito copia senza immettere alcuna informazione personale, allora la cosa migliore da fare è chiudere immediatamente la pagina web e appena possibile inserire l’URL, cioè l’indirizzo, del sito nella blacklist del tuo browser in maniera tale che in futuro non sarà più possibile accedervi in alcun modo.
Nella malaugurata ipotesi, invece, che tu abbia già inserito dati e/o informazioni personali e solo successivamente ti sei accorto della truffa in atto, allora ti consigliamo di cambiare immediatamente tutte le password che ritieni possano essere a rischio, di contattare il tuo istituto bancario nel caso temi che si verifichino pagamenti indesiderati e ovviamente di rivolgerti alle autorità competenti, come la Polizia Postale, segnalando l’accaduto.
Cosa devo fare dopo aver subito un attacco phishing e come sporgere denuncia alla Polizia Postale?
Sebbene la situazione descritta non si possa definire delle migliori, certamente la cosa più opportuna che tu possa fare è mantenere la lucidità senza lasciarti prendere dal panico che ti porterebbe a peggiorare le cose.
Nell’immediato, come detto, cambiare tutte le credenziali d’accesso è senz’altro opportuno, successivamente potrai sporgere denuncia alla Polizia Postale recandoti sul sito ufficiale e accedendo alla sezione Segnalazioni in cui sarà presente un form che potrai compilare specificando quanto successo.
