Phishing. Cos’è e come difendersi

Gli attacchi di phishing utilizzano email o sms per ottenere informazioni personali spacciandosi per organizzazioni affidabili. Ecco cos’è il phishing e come evitare di cascarci.

Agli hacker piace sfruttare le esigenze personali e l’innata curiosità umana per rubare informazioni sensibili come numeri di carta di credito e password. Vediamo insieme a cosa fare attenzione per “non abboccare” nel phishing, la truffa online che usa email o sms fasulli per ottenere informazioni personali.

Cos’è il phishing
Come funziona il phishing
Come riconoscere le email di phishing
Come proteggersi dal phishing
Cosa fare in caso di phishing

Cos’è il phishing

Significato e traduzione di phishing

Il termine “phishing” è l’adattamento al gergo informatico del verbo inglese “pescare” inteso come raggiunge o realizzare qualcosa facendo “abboccare” qualcuno.

Il phishing informatico

In informatica il termine “phishing” si usa per identificare è un sistema di truffa o frode online che viene effettuata inviando messaggi di posta elettronica che hanno un aspetto identico per contenuti, logo, mittente e grafica a quelle istituzionali di marchi conosciuti, in cui si invita il destinatario a fornire dati riservati che verranno poi utilizzate in rete per fini malevoli.

Come funziona il phishing

Quella del phishing è una pratica molto diffusa perché è semplice, a basso costo e a basso rischio.

Migliaia di criminali tentano truffe di phishing ogni giorno inviando email fraudolente a enormi mailing list, con l’obiettivo di ottenere dati sensibili del destinatario o l’accesso a un sistema protetto.

Per i truffatori è davvero semplice falsificare una comunicazione di una società conosciuta e autorevole: Copiano e incollano il logo e i riferimenti dal sito web ufficiale, preparano un messaggio coerente facendo solitamente leva su un senso di urgenza e il gioco è fatto. Non rimane altro che inviare l’email a quanti più destinatari possibili nella speranza che qualcuno “abbocchi all’amo” e risponda con le informazioni richieste.

Gli elenchi dei destinatari vengono recuperati online, acquistati illegalmente o semplicemente creati tramite congetture usando indirizzi email generici come info@, sales@, reclami@, marketing@ ecc.

Gli attacchi di phishing spesso sembrano provenire anche da organizzazioni che possono ispirare fiducia nelle vittime, come ad esempio gli enti di beneficenza. Inoltre, gli aggressori spesso approfittano di eventi attuali e di particolari periodi dell’anno, come ad esempio:

• Situazioni di instabilità geopolitica         
• Disastri naturali
• Epidemie e allarmi sanitari
• Preoccupazioni economiche
• Grandi elezioni politiche

Gli attacchi di phishing possono anche sfruttare SMS o messaggi di testo e in questo caso prende il nome di “smishing”. I messaggi di testo possono contenere link a pagine web, indirizzi email o numeri di telefono che, se cliccati, possono aprire automaticamente una finestra del browser o un messaggio email o comporre un numero.

Come riconoscere le email di phishing

Le frodi elettroniche che rientrano nella categoria del phishing possono avere molti obiettivi, dall’accesso alle informazioni riservate all’installazione di malware sul sistema della vittima. Ne consegue che l’aspetto di ogni email di phishing è diverso anche se si riscontrano molti elementi ricorrenti:

• Testi ambigui e privi di riferimenti
  Spesso le email di phishing sono prive dei nostri riferimenti personali e hanno un contenuto e generico e ambiguo (es “il contratto scade alla fine del mese” anziché “il contratto scade il 15/12/2022”)

• Mittente simile ma errato
  L’indirizzo del mittente può imitare un’azienda legittima. I criminali informatici spesso usano nomi molto simili a quelli reali alterando o omettendo alcuni caratteri. Ad esempio, potrebbero inviare email da una casella tipo info@regiter.it in cui il dominio regiter.it è così simile a quello di register.it che, prestando poca attenzione, è facile non accorgersi che manca una “S”.

• Poca cura dei dettagli nei saluti e nella firma
  Sia un saluto generico, come “Caro cliente” o “Signore / Signora” che la mancanza di informazioni di contatto nel blocco della firma sono forti indicatori di un’email di phishing. Un’organizzazione fidata normalmente si rivolge a te per nome e fornisce le sue informazioni di contatto.

• Link ipertestuali e siti web falsificati
  Se passi il cursore su qualsiasi link nel corpo dell’email e i link non corrispondono al testo che appare quando ci passi sopra, il link potrebbe essere falsificato. I siti web maligni possono sembrare identici a un sito legittimo, ma l’URL può utilizzare una variazione nell’ortografia o un dominio diverso (ad esempio, .com invece di .it). Inoltre, i criminali informatici possono utilizzare un metodo di abbreviazione di URL per nascondere la vera destinazione del link.

• Orrori di ortografia e di  layout
  Molte volte i messaggi di phishing sono trascurati nel layout, sono scritti male e contengono perfino errori grammaticali e di ortografia. Questi sono tutti indicatori di un possibile tentativo di phishing. Le organizzazioni e istituzioni affidabili, infatti, hanno personale dedicato che produce, verifica e revisiona accuratamente le comunicazioni verso clienti.

• Allegati e link sospetti
  Spesso nei messaggi di phishing , il destinatario ci chiede di fare clic su un link non sicuro o di aprire un documento in allegato con un’estensione “strana”.

Anche il testo della comunicazione dovrebbe subito farci scattare un campanello di allarme. Spesso infatti queste email sfruttano tecniche semplici ma efficaci per indurci all’azione.

• Senso di urgenza. Il mittente potrebbe usare frasi come “procedi subito al pagamento per evitare l’interruzione del servizio”, “rispondi ora per evitare…” ecc.

• Aria“ di autorità o di familiarità.Il destinatario apparente potrebbe essere il tuo capo, il nome di un tuo amico o il nome della banca su cui hai il conto corrente.

• Curiosità. I messaggi potrebbero far leva sull’innata curiosità umana… qualcosa che ti spinge a dare un’occhiatina nel caso fosse vero: “Aggiornamento importante di sistema…”, “modifiche al tuo conto bancario…”, “sei il nostrocentesimo cliente e hai vinto un premio..” ecc.

A prima vista, gli esempi sopra riportati sembrano ovvi ma è facile cadere nella trappola se si è stanchi, un po’ stressati, in ritardo, di corsa… il logo sembra legittimo, l’indirizzo a colpo d’occhio è quello giusto, l’email è urgete e il clic arriva.

Come proteggersi dal phishing

Per evitare di cadere nella trappola del phishing ti consigliamo di:

• Diffidare di qualunque email che ti richieda l’inserimento di dati riservati come numero di carta di credito, password di accesso a servizi o altre informazioni personali

• Installare e mantenere aggiornati programmi e software di antivirus, firewall , filtri e-mail e funzioni anti-phishing scegliendo soluzioni sicure e professionali come il servizio di Antivirus e Antispam di Register.it

• Verificare attentamente l’URL del sito web che compare nel browser. Assicurati che si tratti di una pagina protetta, facilmente riconoscibile della presenzadi un lucchetto e dal prefisso https:// ( e non http://) nella barra degli indirizzi, elementi che  indicano che le informazioni scambiate saranno criptate.

• Non cliccare mai sui link su link “strani” contenuti nel messaggio e non scaricare o aprire eventuali allegati.

• Verificare attentamente la provenienza del messaggio facendo molta attenzione al contenuto e alla forma.

• Non fornire informazioni personali o finanziarie nelle email e non rispondere alle richieste di informazioni.

Cosa fare in caso di phishing

Ecco un breve elenco di azioni e di best practices da mettere in pratica se rileviamo un’email di phishing:

1. Cancellare il messaggio
2. Se riceviamo il messaggio sul nostro indirizzo email lavorativo, avvisare subito il team che si occupa della sicurezza informatica.
3. Avvisare la società o l’entità di cui si sta sfruttando il nome in modo da renderla consapevole della truffa in atto nei suoi confronti
4. Denunciare i tentativi di phishing alla polizia postale.

Se abbiamo fatto clic su un link, scaricato un file dannoso o fornito i nostri dati, è essenziale modificare tutte le password rivelate, attivare una scansione del nostro computer per identificare e bloccare eventuali virus e controllare i nostri estratti conto bancari per annullare qualsiasi transazione illegale.