Nel mare di internet si possono incontrare tante minacce: ecco cos’è il phishing, come viene attuata questa truffa e come difendersi dai malintenzionati.
Nello sconfinato mondo di possibilità della rete internet, spesso sono in agguato anche pericolose minacce: in questo articolo cos’è il phishing, come viene attuato, e i modi per proteggersi da questo tipo di truffa online.
*Nuova e-mail ricevuta*
“Gеntіlе Cliente,
Tі informiamo che avete il diritto a ricevere un rimborso BNL da noi per un importo di 43,00€ è disponibile online.ACCEDI AL SERVIZIO:
Ti ricordiamo alcuni vantaggi del Conto Online:
– Assistenza 24 ore su 24 su tutte le tematiche relative alla linea e alle rimborso di BNL.
– Possibilità di inoltrare richieste e segnalazioni veloci direttamente online senza tempi di attesa al telefono, ottenendo una risposta entro 24 ore.Ti aspettiamo presto su www.bnl.it.
Grazie.”
Oppure:
“Egregio Cliente di Poste Italiane,
Siamo spiacenti di informarla che abbiamo deciso di sospendere le sue operazioni sul sito delle Poste visto che lei ha ignorato la precedente richiesta di confermare la sua identità.
Per poter riutilizzare la sua carta Postepay / Conto Bancoposta, si prega di confermare
immediatamente le informazioni rilasciate sul nostro sito al momento della sua registrazione.
La procedura può essere completata cliccando sul link sottostante, che la porterà sul nostro
sito nella sezione dedicata alle verifiche.>>Accedi ai servizi online<<
Le ricordiamo che finché la verifica non viene effettuata, lei non sarà in grado di effettuare:
- Effettuare prelievi al bancomat o su POS.
- Effettuare ricariche, bonifici ed operazioni di PostaGiro.
- Effettuare pagamenti online o su POS.
Ci dispiace per il disagio arrecato!
Servizio Assistenza di Poste Italiane 2018”
O ancora:
“Gentile Cliente,
Abbiamo incontrato un problema di fatturazione.
Questo tipo di errori di solito indica che lafcarta difcredito è scaduta o il
vostro indirizzo di fatturazione non è valido.Clicca sul seguente link per aggiornare le tue informazioni :
Entra
Grazie,”
A chi non è mai capitato di ricevere e-mail di questo tipo, caratterizzate da una forma grammaticale alquanto disastrata?
Questi appena riportati sono tutti esempi di phishing, atti illeciti volti ad ingannare l’utente con il fine di estorcere dati sensibili in genere di tipo finanziario.
Indice dei contenuti
Cos’è il Phishing?
Si tratta di una delle più diffuse truffe online, che viaggia in maniera principale attraverso i messaggi di posta elettronica.
Una minaccia informatica attuata da hacker malevoli che hanno intenzione di rubare informazioni riservate, come ad esempio i numeri di carte di credito, ma anche password o PIN bancari, o ancora dati relativi ai conti corrente.
Il termine phishing richiama quello di fishing, che in inglese vuol dire pesca, rimandando appunto all’azione ingannevole attuata nei confronti della vittima per raggiungere scopi poco nobili.
Questo fenomeno ha visto negli anni una crescita costante e proporzionale alla diffusione di internet ma, sebbene oggi esistano tutti gli strumenti per combattere il phishing in maniera efficace, l’Italia risulta essere quarta nella classifica dei paesi più colpiti dal fenomeno, poiché gli utenti continuano a incappare in questo tipo di truffa online, vedendosi svuotare conti correnti o addebitare somme ingenti senza saperne nulla.
Come viene attuata la tecnica del phishing
Questo stratagemma usato dai black hat è solito fare leva su sentimenti forti e coinvolgenti suscitati nella vittima, come ad esempio la paura, la preoccupazione, ma anche la curiosità.
Esistono diversi tipi di messaggi che celano tentativi di phishing: analizzando i casi riportati in apertura, possiamo individuare la curiosità di voler riscuotere un premio di non meglio specificata provenienza, oppure la paura di vedersi bloccare i movimenti della carta prepagata dell’ente postale o addirittura il conto corrente. O ancora, la preoccupazione di ritrovarsi coinvolti in grane burocratiche riguardanti i dati della fatturazione di un’utenza.
Tutti questi esempi, comunque, hanno dei tratti comuni: l’hacker malevolo ha inviato quel messaggio in massa: spesso capita di non essere gli unici destinatari dell’e-mail, e di leggere gli indirizzi di altre persone a cui è stato recapitato lo stesso messaggio.
La lettera elettronica, inviata da quello che dovrebbe essere un istituto di fiducia, contiene un messaggio con una grafica piuttosto fedele alle reali comunicazioni della società.
All’interno del messaggio viene sollecitato l’immediato intervento della potenziale vittima, spingendo all’apertura di un link che, però, invece di rimandare all’ente originale, punta a un sito realizzato ad hoc dal malintenzionato. Una volta che l’utente avrà inserito le proprie reali credenziali d’accesso, la truffa sarà compiuta.
L’hacker malevolo entrerà dunque in possesso dei veri dati della vittima, e potrà usarli per derubarla o venderli sul deep web.
Come riconoscere un tentativo di phishing
È possibile sventare questo tipo di frode?
Sì, in diversi modi, come ad esempio:
- Controllando la presenza del certificato SSL nella pagina in cui inserire i dati, che di norma indica la sicurezza ed affidabilità della pagina;
- Usando servizi per la posta elettronica con filtri adeguati che bloccano la posta indesiderata;
- Aggiornando l’antivirus del computer;
- Osservando il nome dell’URL cui si è rediretti.
In generale, un tentativo di frode di un phisher viene riconosciuto da alcuni elementi, come ad esempio la mancata personalizzazione dell’intestazione, con un più generico Gentile cliente, al massimo seguito dall’indirizzo e-mail che ha ricevuto il messaggio.
È accompagnato da una richiesta di intervento tempestivo per risolvere un problema o magari per ritirare un premio, ma anche da un invito implicito a scaricare allegati – anche testuali – come una fattura per un ordine mai effettuato.
Subito dopo, ecco comparire la richiesta di inserire i dati sensibili dopo aver cliccato su un link con diciture come “Entra qui” “Accedi”, mentre nella parte finale dell’e-mail si possono leggere i dati dell’ente reale, come ad esempio il sito web originale della banca.
Ad ogni modo, né Poste Italiane né alcuna banca al giorno d’oggi chiede via mail l’inserimento di dati come il PIN della carta di credito, ma nel dubbio è sempre bene fare una telefonata all’istituto di riferimento per avere conferma di eventuali comunicazioni risultate sospette.
Phishing: cosa fare dopo
Quando ci si ritrova coinvolti in un tentativo di phishing, che non è andato a buon fine, è buona norma effettuare comunque una segnalazione sul sito della Polizia Postale e delle Comunicazioni. Se si è caduti vittima dell’inganno, invece, per prima cosa è opportuno avvisare l’istituto finanziario di competenza per bloccare eventuali prelievi, e subito dopo sporgere denuncia presso la Polizia di Stato.