COS’È IL PHISHING? UNA PERICOLOSA TRUFFA.

Conoscerla per non “abboccare”. Ecco di cosa si tratta:

ll phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Si tratta di un’attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio.

Uno stratagemma per indurre gli utenti a rivelare, con l’inganno, informazioni personali o finanziarie attraverso un’e-mail o un sito Web, ma sempre più spesso anche tramite messaggi in arrivo da applicazioni molto usate come Whatsapp o Facebook.

Come funziona un attacco di Phishing

Un tipico attacco di phishing inizia con un messaggio di posta elettronica, un link che compare dal nulla in Facebook, o un banner pubblicitario in qualche applicazione molto usata dagli utenti. Si presenta come una notifica ufficiale proveniente da una fonte attendibile, per esempio una banca, ma anche un amico. II messaggio invita a collegarsi a un sito Web graficamente molto simile a quello originale e a inserire alcune informazioni personali come, per esempio, il numero di conto corrente o la password. Queste informazioni vengono poi utilizzate per appropriarsi dell’identità di chi abbocca alla truffa.

Per far sì di essere credibile, il messaggio fraudolento informa l’utente, guarda caso non chiamandolo mai con il proprio nome, simulando delle situazioni che possono in realtà verificarsi per davvero. Ad esempio, un tipico messaggio di phishing potrebbe riguardare:

  • la scadenza di una determinata password;
  • l’accettazione dei cambiamenti delle condizioni contrattuali;
  • il potenziale rinnovo della carta prepagata o della carta di credito, tipo PostepayCartaSiVisa o MasterCard;
  • dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti online, tipo PayPalMoneyGram o Western Union;
  • la mancata, incompleta o errata presenza di informazioni, che magari riguardano Poste Italiane e/o gli account di GoogleFacebook o Twitter;
  • la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le coordinate bancarie per far sì di esser tra i primi a beneficiarne;

Una volta quindi catturata l’attenzione dell’ignaro utente, il messaggio fraudolento, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito Internet in questione, che assomiglierà il più possibile a quello ufficiale, con la speranza che il malcapitato utente inserisca username, password e/o altre potenziali informazioni che possano rivelarsi utili in qualche modo. Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, cioè il malintenzionato, potrà disporre come gli pare e piace dei dati in suo possesso, con tutte le spiacevoli conseguenze del caso.

Ecco alcuni semplici consigli da mettere in pratica per prevenire gli attacchi di phishing:

  1. Verifica la provenienza del messaggio e leggilo attentamente poiché potrebbero anche esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi già farti insospettire in qualche modo;
  2. Non cliccare mai sui collegamenti contenuti nel messaggio fraudolento e non scaricare/aprire mai eventuali allegati in esso presenti. Inoltre, se proprio vuoi contattare o raggiungere la presunta fonte del messaggio, fallo direttamente e mai attraverso il messaggio fraudolento che ti è stato inviato;
  3. Controlla sempre l’URL del sito che compare nella barra degli indirizzi del tuo browser preferito e non lasciare mai troppe tab aperte in quest’ultimo, altrimenti potresti anche essere vittima di una tecnica conosciuta come tabnabbing;
  4. Verifica periodicamente i movimenti del tuo conto corrente e, se è possibile, attiva il servizio di SMS alert che ti informerà non appena avverranno dei movimenti di denaro sul tuo conto;
  5. Blocca subito eventuali pagamenti sospetti e non riscuotere mai per nessun motivo degli accrediti che non hai mai richiesto, altrimenti potresti essere persino accusato di riciclaggio;
  6. Infine, se noti la presenza di e-mail sospette, segnalalo al proprietario del servizio di posta elettronica contrassegnando, semplicemente, il messaggio come spam.
Il modo migliore per difendersi dal phishing:

Oltre a mettere in pratica questi consigli, l’arma più utile è l’utilizzo di strumenti antivirus e anti-phishing all’avanguardia per mettere al sicuro le proprie e-mail come quelli che puoi trovare da noi di Core Sistemi.