Attraverso l’utilizzo di e-mail ed SMS vengono messi a repentaglio i dati personali di molte persone. Ecco di cosa si tratta e come difendersi dal phishing.
Social network, applicazioni di messaggistica istantanea, sms ed e-mail sono alcuni degli strumenti a nostra disposizione per comunicare da qualsiasi posto e in qualsiasi momento della giornata, anche con persone geograficamente molto distanti da noi. Una dimostrazione più che lampante di come tali servizi agevolino molte operazioni quotidiane e facilitino la comunicazione.
Proprio la facilità di interagire con chiunque può diventare terreno fertile per alcuni malintenzionati. Tanti, infatti, sono i truffatori che sfruttano tali strumenti per disseminare delle trappole grazie a cui cercare di far cadere il malcapitato di turno, estorcendo a quest’ultimo soldi e informazioni personali.
Tra le truffe online più diffuse si annovera senz’ombra di dubbio il phishing che mette a repentaglio i dati di molte persone. Ma di cosa si tratta, come viene attuato e soprattutto come difendersi? Entriamo nei dettagli e vediamo tutto quello che c’è da sapere in merito.
Cos’è il phishing: traduzione, significato e definizione
Il termine phishing è una variante della parola inglese fishing ovvero «pesca», a cui viene viene sostituito l’iniziale f in ph. Tra le sue origini nell’ambito della pirateria informatica e fa riferimento al tentativo di “pescare” dati personali e sensibili di terze persone. O per essere più precisi, fa riferimento a coloro che purtroppo abboccano alla truffa. Proprio come nella pesca, infatti, il phishing sfrutta un’esca semplice diffusa attraverso e-mail o altro con messaggi allarmanti, riguardanti ad esempio, e paradossalmente, la sicurezza del dispositivo o del conto corrente.
Entrando nei dettagli, il phishing è una vera e propria truffa che sfrutta la posta elettronica o i messaggi di testo, come SMS o tramite WhatsApp, per rubare informazioni e dati appartenenti al destinatario. Come riportato sul sito della Treccani, nel linguaggio di internet il termine phishing si riferisce al:
« tentativo di impadronirsi illegalmente dei dati personali di un utente, e di altre utili informazioni (numeri di conto corrente e di carta di credito, codici di sicurezza per l’accesso a banche dati, ecc.), generalmente al fine di derubarlo».
Il meccanismo di frode prevede l’invio di messaggi fasulli di posta elettronica che sembrano essere, ad esempio, inoltrati da istituti di credito, finanziarie o agenzie assicurative, al fine ottenere dall’utente dati e informazioni utili ad attuare la truffa.
In cosa consiste il phishing?
Spesso e volentieri, purtroppo, sui nostri smartphone o computer riceviamo SMS o e-mail fasulli, che sono stati realizzati in modo accattivante con un solo obiettivo, ovvero quello di estorcere dati personali per realizzare una vera e propria truffa.
Cadere in questo tentativo di raggiro, purtroppo, è più facile di quello che si possa pensare. Nella maggior parte dei casi, infatti, il messaggio che si riceve sembra essere stato inviato proprio dall’istituto di credito in cui si è correntisti. Si rischia così di cadere nel tranello dei malintenzionati che cercano così di hackerare i dati personali degli utenti, come password e numeri di carta, che vengono, a conti fatti, concessi dagli utenti stessi.
Un attacco phishing viene messe in campo, solitamente, seguendo delle fasi ben precise e alquanto comuni. Prestando attenzione a questi dettagli è possibile cercare di scovarli ed evitare di cadere nella trappola. Andando più in profondità, la prima fase consiste nell’invio da parte di bot di alcuni finti messaggi che imitano quelli di banche, provider o enti noti, con tanto di grafica e logo similari. Solitamente l’oggetto di tali messaggi fa riferimento ad un presunto problema di sicurezza, come ad esempio un attacco hacker che avrebbe messo a rischio i dati personali.
Il testo è quasi sempre molto allarmante e invita il destinatario del messaggio a verificare lo stato del proprio account cliccando su un link appositamente indicato all’interno dell’e-mail o del messaggio di testo. Proprio cliccando su tale link e inserendo le informazioni richieste si cade nella trappola del cyber criminale. Quest’ultimo, infatti, entra così in possesso delle informazioni necessarie per attuare la truffa, come ad esempio svuotare il conto bancario del malcapitato di turno.
Tipi di phishing informatico da (ri)conoscere
Il phishing può essere attuato sia attraverso i classici schemi tramite email rivolti ad un’utenza generica che con approcci considerati più originali e mirati a determinati utenti. In ogni caso lo scopo è sempre e solo quello di sottrarre i dati sensibili del malcapitato. Per cercare di evitare di cadere nella trappola è bene conoscere le varie tipologie di phishing informatico.
- E-mail phishing. Si tratta della tipologia di phishing più comune e diffusa. Prevede l’invio di un e-mail attraverso cui, di solito, il destinatario viene informato che il suo account è stato compromesso e che bisogna cliccare sul link inoltrato per evitare che ciò accada. Ovviamente, ma è sempre bene sottolinearlo, non è affatto così ma si tratta, appunto, di un tentativo di raggiro.
- Smishing. Come è possibile intuire dal nome si tratta di un tentativo di truffa che viene attuato tramite sms. Il testo di quest’ultimo contiene in genere un link cliccabile oppure un numero di telefono da richiamare, attraverso cui estorcere dati al destinatario della comunicazione.
- Vishing. Conosciuto anche con il termine di “voice phishing”, in questo caso la vittima viene contattata tramite telefonata oppure con un messaggio vocale.
- SEO phishing. Gli hacker fanno in modo che i propri link risultino tra i primi risultati restituiti in una ricerca effettuata utilizzano un motore di ricerca. Cliccando su tale collegamento si viene indirizzati al sito del truffatore, che può così cercare di sottrarre alcuni dati sensibili. I siti degli hacker possono essere di qualsiasi tipologia, ma riguardano in particolar modo banche e sistemi per trasferire denaro.
- Phishing sui social media. I truffatori utilizzano i social network come Facebook, Instagram e LinkedIn per spingere l’utente a comunicare alcuni dati sensibili attraverso messaggi, post o commenti. A tal fine creano profili falsi attraverso cui propongono finti sconti, promozioni o premi. Ancor peggio possono compromettere dei profili reali, come quelli di un amico, e inviare una finta richiesta di aiuto. Sfruttano così la fiducia tra gli utenti per trarli in inganno.
- Spear phishing. Si tratta di una particolare tipologia di phishing, che si presenta come un attacco mirato e che ha come bersaglio specifiche tipologie di utenti, di cui gli hacker conoscono bene interessi e dati sensibili. Il finto messaggio, in tal caso, viene indirizzato ad una specifica persona, con tanto di nome e cognome.
- Whaling. Meglio noto come «caccia alle balene», si tratta di una tipologia di phishing volta ad attaccare professionisti che rivestono un ruolo importante all’interno di un’azienda o di una associazione. Il truffatore invia un’e-mail personalizzata alla vittima con la speranza di recuperare dati di un certo valore. Il contenuto di tale messaggio, ad esempio, può riguardare presunti problemi dell’azienda che potrebbe incorrere in pesanti conseguenze legali.
Attacchi di phishing: qualche esempio di truffa reale
Diversi, purtroppo, sono i tentativi di phishing in cui si rischia di cadere. Tra i casi di truffa più noti si annoverano quelli che vengono attuati sfruttando, a loro insaputa, i nomi di noti istituti di credito e istituzioni. Ne è un chiaro esempio il tentativo di phishing segnalato dall’Agenzia delle Entrate, che ha visto i malfattori prendere di mira gli utenti del sistema PuntoFisco. In base alle segnalazioni diversi utenti avrebbero ricevuto un’e-mail attraverso cui veniva loro richiesto di confermare i propri dati di accesso con lo scopo di migliorare la sicurezza.
Un altro attacco phishing molto diffuso e a cui è bene prestare attenzione è il cosiddetto browser in the browser. In pratica un hacker predispone, una volta entrati su una determinata pagina, l’apertura di un falso pop-up attraverso cui viene richiesto di inserire le credenziali di uno dei propri profili social per poter accedere al contenuto. Peccato che una volta indicate le credenziali, quest’ultime vengano sottratte.
Tanti, inoltre, sono coloro che si sono imbattuti in una truffa Smishing ai danni dei titolari delle carte PostePay standard e PostePay Evolution. In pratica i truffatori chiedono di cambiare password o bloccare un bonifico sospetto e rubare così i soldi.
Come difendersi dal phishing ed evitare truffe online
I principali provider e-mail, quali ad esempio Gmail e Outlook, confinano spesso le e-mail fraudolente nella casella Spam. Si rivelano così essere, già di per sé, un’ottima barriera nei confronti degli attacchi phishing. Spesso, però, alcuni messaggi possono sfuggire al filtro, finendo così nella casella delle e-mail in arrivo.
Per questo motivo si invita sempre a leggere attentamente le e-mail ricevute in modo tale da scorgere eventuali elementi che possano far capire che si tratti di un tentativo di truffa. Innanzitutto la maggior parte di questi messaggi presenta degli errori ortografici grossolani. A rivelare la vera natura di questi messaggio, inoltre, è quasi sempre il tono allarmistico. Frasi come “rispondi subito” o “completa la verifica o il tuo account verrà chiuso per sempre entro 24 ore” sono spesso il modello base con cui viene realizzato il testo di una e-mail di questo genere.
Un altro indizio che può aiutare a riconoscere un attacco phishing è rappresentato dai destinatari della mail. Trattandosi di messaggi inviati in blocco a diversi utenti spesso non è possibile verificare i destinatari coinvolti, che rimangono pertanto nascosti.
Si ricorda, inoltre, che nessuna banca chiede informazioni come numeri di carta di credito, codici personali, password e quant’altro attraverso una semplice e-mail. Bisogna quindi evitare di fornire questo tipo di informazione se non si vuole restare coinvolti in una delle esperienze online più spiacevoli e diffuse.
Cosa fare in caso di phishing? Segnalazioni e denunce
Nel caso in cui vi siate imbattuti in truffa di phishing è opportuno segnalare immediatamente l’accaduto alla Polizia Postale. In questo modo è possibile aiutare le forze dell’ordine, ma anche gli altri utenti, ad individuare altri attacchi simili.
Per i reati telematici la Polizia di Stato mette a disposizione un servizio specifico all’indirizzo www.commissariatodips.it, attraverso cui è possibile denunciare vari reati, come intrusione informatica e utilizzo illecito delle carte di credito
Se invece il caso è più grave e avete condotto i cybercriminali direttamente ai vostri dati personali completando l’attacco phishing, allora per prima cosa bisogna contattare l’ente ufficiale coinvolto e cambiare password. Se ad esempio sono stati indicati i dati della PostePay bisogna contattare Poste Italiane. Ovviamente bisogna anche sporgere denuncia ufficiale.
© RIPRODUZIONE RISERVATA
