Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

truffe online

Phishing, cos’è e come proteggersi: la guida completa

Il phishing è un genere di truffa telematica che ha l’obiettivo di rubare le informazioni e i dati personali degli internauti: una guida, passo dopo passo, per evitare di cascarci

29 Mag 2018
R

Rosita Rijtano


È una delle minacce informatiche più conosciute, ma allo stesso tempo una di quelle in cui continuiamo a cascare troppo spesso. Si tratta del phishing, un genere di truffa telematica che ha l’obiettivo di rubare le informazioni e i dati personali degli internauti.

Possiamo definire il phishing come una forma di adescamento: il cyber-malintenzionato inganna psicologicamente l’utente, sfruttando le sue paure, e gli sottrae informazioni preziose, come le credenziali bancarie o i documenti d’identità che poi possono essere utilizzati per compiere una serie di azioni illegali, senza che l’interessato ne venga a conoscenza. Per esempio, il criminale ha così l’opportunità di usare il nostro nome e cognome per vendere online della merce inesistente: farsi pagare e poi scomparire, lasciando che siano a nostro carico sia le denunce che il processo per truffa.

Che cos’è il phishing e in cosa consiste

Il metodo d’attacco preferito, fin dagli albori del web, è l’email. Il mittente del messaggio di posta elettronica sembra un’organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c’è un problema relativo al nostro account, in genere legato alla sicurezza. Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dal cracker. Difficile accorgersi della differenza, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta. Così l’utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Non solo, una volta entrati sul sito fasullo, è possibile che il nostro dispositivo venga infettato da virus, come trojan horse e malware.

Ma oggi non c’è solo l’email a disposizione di questo tipo di attacchi, anzi il phishing sta sempre di più assumendo una dimensione social. Secondo un’indagine del 2017 condotta dal gigante di sicurezza informatica Kaspersky, Facebook è stato uno dei primi tre obiettivi per il phishing (piazzandosi, circa, all’8%), seguito da Microsoft Corporation (al 6%) e da PayPal (al 5%). Più nel dettaglio, nel primo trimestre del 2018, la rete sociale di Mark Zuckerberg ha guidato la classifica del phishing connesso ai social network, seguito da VK – l’equivalente russo – e da LinkedIn.

La tattica è identica: il truffatore crea la copia della pagina di un social network (ad esempio una falsa pagina Facebook) e cerca di attirare le ignare vittime, costringendole a condividere i propri dati personali – come nome, password, numero di carta di credito, codice PIN e altro ancora – nel corso del processo.

Come difendersi dal phishing

La regola principale per difendersi, da adottare come un mantra, è solo una: nessuno può tutelare le nostre informazioni meglio di noi stessi. Per questo è necessario creare dati con cura, gestirli con cura e diffonderli, il meno possibile, con cura nonché essere pronti ad affrontare eventuali emergenze.

Di solito le email, o i messaggi, di phishing hanno un tono allarmistico. Un classico esempio è “Se non rispondi, il tuo account verrà chiuso in 48 ore”. E, nel caso della posta elettronica, vengono inviati in blocco: per cui nella barra riservata ai destinatari non compare alcun indirizzo email.

Ecco una breve guida, passo dopo passo, per non cadere nella trappola del phishing:

  • – Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser;
  • – Prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso;
  • – Usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, senza una password di protezione. Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico. Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i cybercriminali possono reindirizzarci, senza essere visti, a pagine di phishing;
  • – Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo;
  • – Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.

Che cosa fare dopo un attacco phishing e come sporgere denuncia alla Polizia Postale

Hanno tentato di raggirarci, ma per fortuna non ci sono riusciti. Possiamo segnalare l’attacco e aiutare gli altri a non cadere nella stessa trappola. Tutto direttamente sul sito del commissariato di Polizia di Stato online: una sorta di ufficio gestito dalla Polizia Postale e delle Comunicazioni, attraverso il quale è possibile inviare informazioni sui reati informatici di cui veniamo a conoscenza, come phishing, hacking, il furto di codici bancomat e carte di credito, truffe e-commerce, spamming, pedofilia online, violazioni del diritto d’autore online e telefonia.

Ci siamo cascati: abbiamo inserito i nostri dati su un sito fake, o i criminali sono riusciti ad estorcerci la copia digitale di un nostro documento d’identità. Nel primo caso, va contattato l’amministratore del portale originale per avvertirlo di quanto accaduto, cambiare la password, e poi sporgere denuncia. Nel secondo, dobbiamo necessariamente denunciare.

Anche in questo caso abbiamo l’opportunità di fare tutto comodamente seduti sul divano di casa, grazie al sito della Polizia Postale. All’interno dell’homepage dedicata alle segnalazioni, troviamo diversi riquadri da compilare. Una volta effettuata la denuncia, la Pubblica Sicurezza aprirà un regolare fascicolo che verrà trasmesso alla Procura della Repubblica per ottenere le necessarie autorizzazioni a procedere.

Spear phishing, cos’è e perché bisogna stare attenti

Lo spear phishing è un particolare tipo di phishing. Viene sempre realizzato attraverso l’invio di email fraudolente. Ma l’obiettivo è un’organizzazione o una persona specifica. Un target, quindi, ben mirato e chi riceve l’email fa ancora più fatica a capire che in realtà è una truffa.

Gli scopi di questi attacchi sono tipicamente due: si tratta di ottenere del denaro, oppure l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato o militari.

Tre email di phishing a cui prestare attenzione

“Gentile cliente, stiamo avendo problemi con i tuoi dati di fatturazione, per eseguire di nuovo il login occorre aggiornare l’account”. Questa è una delle email che milioni di abbonati Netflix hanno ricevuto nel 2017. Gli autori del phishing hanno chiesto agli utenti di aggiornare le informazioni relative alla modalità di pagamento. Chi ci è cascato ha perso sia i dati personali sia quelli della carta di credito, debito o prepagata associata all’account.

Probabilmente è una delle email phishing più famose della storia, nonché tra le più diffuse. Arriva da un presunto nobile nigeriano che dice di non riuscire a sbloccare il suo conto in banca milionario. Propone uno scambio: l’utente diventa il suo prestanome e fornisce dei soldi per le spese legali necessarie. Come compenso riceve una parte del bottino. Peccato che non esista alcun nobile, né tantomeno una lauta somma. Ma si tratta, per l’appunto, di un raggiro.

“Gentile utente” o “Salve utente PayPal“. In genere iniziano così le email in cui si annuncia che la compagnia in questione è stata vittima di un attacco hacker e prega gli utenti di cambiare tutte le proprie credenziali. Ma il messaggio non arriva affatto dalla società che offre servizi di pagamento digitale e di trasferimento di denaro tramite Internet, bensì dai criminali informatici che vogliono rubare i nostri dati. La stessa PayPal, sul proprio sito, afferma che nelle email indirizzate ai propri fruitori utilizza il nome e il cognome o la ragione sociale registrati sul tuo conto PayPal. Mai fidarsi degli incipit generici.

Articolo 1 di 5