Avete mai ricevuto un messaggio e-mail che a prima vista sembrava inviato dalla banca, in cui vi chiedevano di “confermare” i dati di accesso al vostro conto o il numero di carta di credito? Se la risposta è sì, probabilmente avete più o meno un'idea di com'è fatto un tipico attacco di phishing.
Anche se gli aggressori non vanno veramente a pesca, concettualmente non siamo molto lontani. Il termine phishing ha origine dalla parola inglese “fishing”, cioè pesca, ovvero prendere una preda tramite un'esca. La tecnica di un attacco di phishing è basata su un principio simile. L’esca in questo caso può essere un'e-mail, una telefonata (vishing), un messaggio SMS (smishing) oppure un post o un messaggio privato sui social network. Voi e i vostri dati personali siete il pesce che in seguito gli aggressori potranno vendere o usare per scopi abusivi come ad esempio estorsione, furto di soldi o di identità.
Come funziona il phishing?
Il phishing funziona in base al suddetto principio di pesca. Tra le tecniche più frequenti di phishing troviamo un'e-mail contraffatta che pare essere stata inviata dalla banca oppure da un altro servizio online che gestisce i vostri dati personali. Possono chiedere di compilare un modulo indicato direttamente nel messaggio o in allegato. Oppure il messaggio chiede di visitare un indirizzo Web in cui poi verrà chiesto di inserire i propri dati di accesso o altri dettagli relativi al conto o alla carta di credito. Oggi è abbastanza difficile accertare se i messaggi, link o pagine Web contraffatte siano legittimi perché assomigliano davvero molto a quelli veri. Talvolta riportano anche il logo ufficiale o altri elementi appartenenti a organizzazioni altrimenti degne di fiducia.
Come riconoscere quindi un attacco di phishing?
Di seguito elenchiamo alcuni segni rivelatori tipici dei messaggi di phishing per aiutare a individuare un messaggio di questo tipo.
Titolo generale o informale. Nel caso di un’e-mail, il messaggio può essere impersonale, per esempio può riportare un saluto generale, come “Egregio cliente”, ma non il vostro nome. Gli aggressori sono sempre più sofisticati e migliorano le proprie tecniche. L’e-mail o il messaggio elettronico può contenere anche il logo ufficiale e/o altri segmenti di riconoscimento di un organizzazione credibile. E nonostante tutto questo, può comunque trattarsi di phishing. Nel caso di una banca è possibile chiamare direttamente la persona con la quale è stato stipulato il contratto e chiederle se si tratta di un'e-mail proveniente da loro. Se siete stati contattati da un servizio (per esempio per la riproduzione musicale online), potete chiamare il loro servizio di assistenza e verificare se ultimamente ci sono stati cambiamenti che richiedono di aggiornare i propri dati di contatto.
Richiesta di dati personali. Nei messaggi e-mail di phishing è comune chiedere dati personali. Sono richieste che però le banche, gli istituti finanziari o altri servizi online evitano. Un messaggio inatteso da parte di un fornitore di servizi è un'evenienza insolita e sospetta. Verificare sempre la legittimità del mittente, ad esempio con le modalità descritte al primo punto.
Scarso livello linguistico non vale più come una scusa. Gli errori di grammatica, di ortografia o sintassi inusuali delle frasi sono spesso il segno di un messaggio contraffatto. L’assenza di questi errori non garantisce però che il messaggio sia vero. Oggi gli aggressori utilizzano spesso il servizio dei traduttori professionali. Quindi ancora una volta è importante verificare la legittimità del mittente.
Urgenza. Altro frequente indizio di un messaggio di phishing è l’urgenza della richiesta. Il contenuto del messaggio di phishing spesso spinge ad agire rapidamente e senza riflettere. Ad esempio nel messaggio si chiede di aggiornare o inviare i dati a un indirizzo e-mail entro 48 ore. Qualora si riceve questo tipo di e-mail, non rispondere in nessun caso. Ugualmente ricorrenti sono comunicazioni contenenti offerte uniche. “Egregio Cliente. Congratulazioni! Siete il vincitore del nuovissimo smartphone. Inviateci i vostri contatti.” Se il messaggio suona troppo bene per essere vero, è praticamente certo che si tratti di una truffa.
Dominio sospetto. I messaggi di phishing o le pagine Web contraffatte sono realizzati sempre meglio. Per questo motivo è necessario controllare il dominio nell'indirizzo del mittente: la vostra banca difficilmente vi scriverà da un dominio cinese. Nel caso in cui si venga reindirizzati a un indirizzo Web, verificare se la pagina contiene il protocollo https:// e l'icona del lucchetto (lo trovate nella finestra con l'indirizzo URL e passandoci con il mouse diventa verde).
Utilizzare l’anti-phishing incluso nelle nostre soluzioni di sicurezza.
Proteggerà la vostra privacy e i vostri dati dai siti Web truffaldini che cercano di carpire dati o informazioni sensibili come nome utente, password o dati bancari.
Imparare a navigare in sicurezza su Internet è un po' come fare la scuola guida. Si insegna come ci si sposta in sicurezza dal punto A al punto B. Durante questo tragitto è necessario seguire alcune regole come fermarsi allo STOP, ripartire solo con il verde e rispettare la velocità massima consentita. L’ambiente del Web funziona in modo simile. Per navigare sul Web in sicurezza, è necessario seguire alcune regole di base, verificare le informazioni ed evitare di procedere senza pensare.
