Cos’è il phishing e come difendersi

La Rete è diventata un vero e proprio campo minato, in cui è facile cadere vittima di truffe, anche senza volerlo: vediamo come evitare tentativi di phishing on-line

Riesci a contare le volte in cui, solo nell’ultima settimana, hai ricevuto e-mail dall’oggetto molto strano, scritte in un italiano sgrammaticato, che ti avvisavano di una vincita improvvisa o di un tentativo di accesso anomalo al tuo conto bancario on-line? Oppure un messaggio che ti esortava a cliccare sul link allegato per scoprire a quanto ammonterebbe la vincita milionaria che ti è stata riconosciuta? Bene, se non riesci a quantificare quante notifiche di questo genere hai ricevuto, allora, anche involontariamente, ti sei ritrovato davanti al rischio di cadere in un tentativo di phishing. Ovvero, la versione 2.0 di una truffa: una sorta di “magagna” digitale.

Infatti, al giorno d’oggi, il phishing rappresenta una delle minacce più diffuse e subdole nell’ambito della sicurezza informatica e della privacy on-line. Si tratta di una vera e propria pratica con intenti illeciti che si serve dell’invio di messaggi ingannevoli, spesso sotto forma di e-mail, che mirano a trarre in inganno gli utenti al fine di ottenere dati sensibili, come password, dati finanziari e altre informazioni personali. Molto spesso, i truffatori si celano dietro il nome rispettabile di istituti finanziari, aziende o enti legittimi, nel tentativo di convincere le vittime designate a condividere i loro dati sensibili o a cliccare su link “trappola”, creati apposta con fini “criminali”.

Purtroppo, dal momento che le abilità di questi ladri informatici diventano via via sempre più alte, non è sempre immediato riconoscere un tentativo di phishing da un messaggio innocuo e legittimo. Soprattutto, perché i mittenti ricalcano con estrema precisione il nome o l’indirizzo e-mail dell’ente cui si fa riferimento. Tuttavia, esistono alcune “scorrettezze” inevitabili, tali per cui risulta poi facile capire se si tratta di phishing o meno. Pertanto, che tu sia ormai un esperto nello smascherare tali truffatori digitali o che ti senta un “boomer” del mondo on-line, ecco una serie di accorgimenti da adottare per non cadere nella trappola della rete.

Cosa si intende per phishing

Prima di fornire un vademecum sul come difendersi dai tentativi di phishing, sempre più all’ordine del giorno, partiamo dalle basi. Che cos’è il phishing?

Come si diceva, si tratta di forma di truffa ormai molto diffusa su Internet che mira a ingannare gli utenti attraverso messaggi di posta elettronica, con l’obiettivo di appropriarsi di dati sensibili a scopi illeciti. Data la molteplicità delle piattaforme e degli enti cui si cerca di “rubare” la rispettabilità per fare cadere in trappola le vittime, ormai il phishing prevede diverse modalità di attuazione.

Nella variante più comune, gli utenti ricevono e-mail che sembrano provenire da istituti finanziari o da siti web che richiedono una registrazione. Questi messaggi dichiarano che ci sarebbero problemi con le procedure di accesso all’account o altri pretesti simili, esortando i malcapitati a fornire informazioni sensibili per potere ovviare al problema. Solitamente, nel messaggio è allegato un link che dovrebbere rimandare al sito ufficiale dell’istituto o del servizio in questione, ma in realtà si tratta di un sito contraffatto creato ad hoc per ingannare l’utente. Infatti, non appena la vittima inserisce i propri, questi vengono rubati dai truffatori che se ne servono per scopi illeciti.

Un’altra modalità di phishing si serve di virus informatici che vengono rilasciati nei dispositivi degli utenti al fine di estrapolare i dati di accesso a servizi finanziari online o ad altri siti web che richiedono registrazione. Questi virus possono essere diffusi attraverso allegati nelle e-mail, spesso camuffati da fatture false, contravvenzioni o avvisi di consegna pacchi in vari formati come .doc o .pdf. Nello specifico, i virus noti come “financial malware” o “trojan banking” sono specificatamente sviluppati per catturare dati finanziari. Altri tipi di malware, definiti “keyloggers”, registrano invece quello che viene digitato sulla tastiera, catturando le credenziali di accesso agli account di posta elettronica o dei portali di e-commerce.

Insomma, data ormai la comune tendenza a trasportare sul digitale tutta la propria vita, dai dati personali a informazioni bancarie e altro materiale riservato, il phishing si manifesta come un’enorme minaccia per la sicurezza 2.0. Pertanto, per difendersi da simili truffe, è essenziale diffidare sempre delle comunicazioni tramite messaggio o posta elettronica, evitando di fornire informazioni sensibili tramite e-mail e assicurarsi di avere software antivirus per proteggere il proprio computer o il proprio dispositivo mobile.

Come difendersi da un attacco di phishing

Dopo avere esplorato le dinamiche del phishing e avere sottolineato quanto sia facile cadere vittima di simili “giochetti on-line”, veniamo alla pratica. Infatti, è possibile difendersi dal phishing semplicemente aguzzando la vista, notando alcuni particolari che inevitabilmente si fanno spia di qualcosa di illecito nei messaggi o nelle e-mail che riceviamo ogni giorno. Ecco alcuni consigli da seguire:

• Verificare sempre l’indirizzo email del mittente: prima di aprire qualsiasi email sospetta, bisogna controllare attentamente la veridicità dell’indirizzo da cui è stata spedita. Spesso i truffatori utilizzano indirizzi simili a quelli delle istituzioni finanziarie o delle aziende, ma con piccole variazioni, come errori ortografici o utilizzo di domini bizzarri, diversi da quelli ufficiali. In questo caso, si tratta di un caso di spoofing, ovvero di un volontario camuffamento di un indirizzo legittimo a fini illeciti.
• Mai cliccare sui link sospetti, ma piuttosto visitare il sito web dell’azienda direttamente digitando l’URL nella barra degli indirizzi del tuo browser o utilizzando un segnalibro precedentemente salvato.
• Non scaricare allegati da fonti sconosciute: come si diceva, gli allegati nelle email possono contenere malware dannosi. Non scaricare o aprire allegati da mittenti sconosciuti o email sospette.
• Prestare attenzione alle richieste di rilascio delle proprie informazioni personali: le istituzioni finanziarie o le aziende legittime non chiedono mai ai clienti di condividere password, dati bancari o altre informazioni personali tramite email.

• Servirsi di un software di sicurezza: è sempre opportuno essere dotati di un buon software antivirus e antimalware installato sul computer o sul dispositivo mobile per sventare qualsiasi minaccia on-line.
• Contattare direttamente l’azienda in questione: se dovessero sorgere dubbi sulla legittimità di un’email appena ricevuta, è consigliabile rintracciare in maniera diretta l’azienda o l’istituzione finanziaria utilizzando i contatti forniti sui siti web ufficiali
• Segnalare le email sospette: molte aziende e servizi di posta elettronica offrono opzioni specifiche per segnalare email sospette o tentativi di phishing al fine di bloccare sul nascere le azioni dei truffatori digitali.

Qualora, nonostante i mille accorgimenti, si dovesse cadere vittime di un caso di phishing, bisogna immediatamente denunciare l’incidente alle autorità competenti, in particolare alla Polizia Postale. Per farlo, basta collegarsi alla pagina dedicata sul sito ufficiale dell’ente, compilare il modulo, selezionando la voce “phishing” nel menu a tendina, completare il processo di verifica e inviare la propria segnalazione.