Phishing: cos’è, come riconoscerlo e come evitarlo

I tentativi di truffa e di attacchi da parte di malintenzionati sono all’ordine del giorno. Il sistema più semplice e diffuso è l’invio di una falsa email a nome di un mittente plausibile che richiede l’inserimento di dati personali, bancari o semplicemente richiedono il click su un determinato link.

La prima regola è diffidare sempre!
Potresti essere vittima di una truffa: un attacco di phishing. Vediamo cos’è il phishing, come riconoscerlo e come evitarlo.

Cos’è il phishing

Il phishing è un tipo di truffa online in cui un malintenzionato invia messaggi ingannevoli a delle vittime – noi, tu, chiunque – per convincerle a rivelare dati personali come il numero della carta di credito, le password di accesso all’home banking o al Cassetto Fiscale e così via, passandosi per un ente o un’azienda affidabile. Può fingersi l’Agenzia delle Entrate, l’istituto bancario in cui hai (o avevi) il conto corrente, le Poste, Facebook, Twitter, insomma un’organizzazione di cui ti fidi. Perché lo fa? Per rubarti l’identità. Si finge te e poi compra prodotti e servizi a nome tuo, sottoscrive contratti, agisce spacciandosi per te, a tua completa insaputa. Fino a che non ti trovi con il conto corrente a zero, con la carta di credito prosciugata, con l’account Facebook clonato e altre situazioni poco simpatiche. Come fa? Di solito agisce in 3 modi:

1) Invio massiccio di mail fasulle 

Prepara una mail fasulla, ma che sembra assolutamente autentica a quella dell’organizzazione o dell’azienda – ha lo stesso logo ed un testo simile a quello usato normalmente da quell’organizzazione – e poi la spedisce in maniera massiccia ad una serie di indirizzi mail. Nella mail chiede al destinatario di fornire i suoi dati personali per poter accedere ad un servizio. Per esempio, chiede di aggiornare, convalidare o confermare le informazioni contenute nell’account del servizio perché c’è stato un problema di registrazione o di altro tipo.La mail contiene un link e la vittima viene reindirizzata su un sito web fasullo molto simile a quello istituzionale del mittente, dove inserisce i suoi dati e consegna inconsapevolmente ad un malvivente la sua identità. 

2) Invio di SMS con un link per accedere ad un sito web fasullo

Di solito la truffa avviene attraverso la posta elettronica, ma in alcuni casi il malintenzionato usa gli SMS. Anche questi sono molto simili a quelli ufficiali dell’ente o dell’organizzazione e invitano la persona a cliccare su un link per accedere ad un sito web (fasullo) in cui lasciare i propri dati. 

3) Attraverso un virus informatico

È un sistema ancora più subdolo. Il malvivente invia un allegato nella mail, di solito una fattura falsa, una multa, un avviso di consegna pacchi – il formato è comunissimo: può essere un file Excel, un documento .doc o un PDF – ed è così che avviene l’infezione. Il virus può andare dal Financial malware al Trojan banking, cioè virus che rubano i dati finanziari, fin al Virus keylogging che si attiva quando, sulla tastiera, vengono inseriti user e password, così il malvivente può accedere alla posta elettronica o all’account dell’e-commerce. 

Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

Se ti arriva un messaggio o una mail in cui ti chiedono di confermare, inviare, modificare informazioni personali, non fidarti. Meglio approfondire. Meglio fermarsi un attimo e telefonare al servizio clienti dell’ente, prima di aprire l’allegato o cliccare sul link. I tentativi di phishing fanno leva sulla paura. Fanno pressioni perché tu perda la testa per spingerti a rivelare i tuoi dati personali senza pensarci troppo. Sono messaggi simili a questi:“Se i dati personali non saranno comunicati entro la tal data, il suo account verrà bloccato”“Se vuole proteggersi dal phishing, clicchi su questo link ed inserisca login e password”Presi dall’ansia è facile cadere nella trappola. Ecco alcuni consigli per cercare di capire se la mail o il messaggio che hai ricevuto è un tentativo di phishing:

  • Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
  • Fai attenzione ai link che iniziano con l’indirizzo IP
  • Non compilare mai i campi all’interno di una mail
  • Non aprire gli allegati di mail che non hai richiesto o che non conosci
  • Non rivelare a nessuno le tue password e cambiale spesso
  • Usa un antivirus e un software anti-phishing (e tienilo aggiornato)

Gli attacchi di phishing sono sempre più sofisticati, quindi è importante usare dei software che possono contrastare queste frodi e tenerli aggiornati.Il modo migliore per tenere al sicuro i tuoi dati è essere consapevole di quello che stai facendo. Non solo le aziende, gli enti e le organizzazioni, anche i singoli cittadini devono essere consapevoli, responsabili e competenti. Agire con accountability. Perché la protezione dei dati personali è una tutela che riguarda sia chi li raccoglie e li tratta, sia chi li affida ad altri.

Fonte: PrivacyLab (leggi l’articolo completo )

Vuoi approfondire con noi ?

    Menu