Phishing, il tentativo di truffa online

Il phishing (deriva dal termine inglese fishing che significa pescare) è un tentativo di truffa, realizzato solitamente sfruttando la posta elettronica, che ha per scopo il furto di informazioni e dati personali degli internauti. Non è altro che un tentativo di frode, messo in pratica attraverso Internet, che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito. I mittenti delle email di phishing sono organizzazioni conosciute, come banche o portali di servizi web, e hanno apparentemente uno scopo informativo: avvisano di problemi riscontrati con account personali dell’utente (home banking, portali di aste online, provider di posta elettronica, social network e altro) e forniscono suggerimenti su come risolvere le problematiche.

Per fare questo, di solito i malintenzionati non utilizzano virus, spyware, malware o altri software malevoli ma si limitano semplicemente ad usare tecniche di ingegneria sociale attraverso le quali vengono studiate ed analizzate le abitudini delle persone (cioè delle potenziali vittime) al fine di carpirne informazioni utili. Per riconoscere un attacco phishing è necessario prestare molta attenzione ai messaggi di posta che si ricevono e una buona dose d’intuito.

I messaggi di posta elettronica contenenti un tentativo di phishing sembrano provenire dalla banca o dall’istituto finanziario di fiducia, oppure da servizi web solitamente utilizzati (posta elettronica, social network e altro) e sono contraffatti quasi alla perfezione. Spesso i messaggi di posta elettronica contengono loghi dall’aspetto ufficiale e informazioni caratterizzanti prese direttamente da siti web legittimi. È tutt’altro che raro, inoltre, che nelle email si faccia riferimento a fatti del passato realmente accaduti che gli hacker reperiscono direttamente dagli account social personali. La tecnica preferita per mettere in pratica il phishing consiste quindi nell’invio di email (molto spesso si tratta di messaggi di spam), ma oltre a questa tecnica, ne esistono però delle altre (che sono meno frequenti, ma pur sempre efficaci), quali lo spear phishing, ovvero l’invio di particolari SMS (chiamato smishing) o magari attraverso delle semplici telefonate. Per difendersi dal phishing, prima di tutto, dobbiamo guardare con sospetto qualunque mail che riceviamo. Per definizione, si possono ricevere mail da sconosciuti, ma anche da amici che si siano fatti piratare il proprio conto mail. Non bisogna mai trasmettere informazioni di autentificazione, log-in, indirizzo mail, o parola d’ordine che sia, perché i pirati informatici possono usare queste informazioni per spedire ai vostri contatti ogni tipo di mail fraudolente.

In caso di mail sospetta o di phishing conclamato, non esitate a rivolgervi alla polizia specializzata nella lotta contro la cybercriminalità o alle associazioni che si occupano della sicurezza su internet. Il loro compito è proprio quello di far fronte a questi casi. Mai aprire un attachment inviato via mail da uno sconosciuto. Perché può contenere virus informatici o potete finire accalappiati in una campagna di phishing.

Dunque basta seguire pochi ma semplici consigli:

– Verifica la provenienza del messaggio e leggilo attentamente perché potrebbero esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi farti insospettire;

– Non cliccare mai sui collegamenti e non scaricare/aprire mai gli allegati presenti nel messaggio;

– Controlla sempre l’URLdel sito che compare nella barra degli indirizzi e non lasciare mai troppe tab aperte nel tuo browser ( potresti essere vittima di una tecnica chiamata tabnabbing);

– Verifica periodicamente i movimenti del conto e, se è possibile, attiva il servizio di SMS alert che ti informa non appena avvengono dei movimenti di denaro;

– Blocca subito eventuali pagamenti sospetti e non riscuotere degli accrediti che non hai mai richiesto (altrimenti potresti essere persino accusato di riciclaggio);

– Infine, se noti la presenza di email sospette, segnalalo al proprietario del servizio di posta elettronica (basta contrassegnare il messaggio come spam). Se invece noti la presenza di siti sospetti sarebbe il caso di fare una denuncia alle autorità competenti (o quantomeno informare la vera fonte).