Attenzione al tentativo di phishing: cos’è e come difendersi

Basta avere una mail per finire nelle mani dei cyber-criminali e ritrovarsi vittima di un tentativo di phishing. Ecco come difendersi.

redatto da Aryon Solutions | Cyber Security | 23-03-2020

Basta avere una mail per finire nelle mani dei cyber-criminali e ritrovarsi vittima di un tentativo di phishing. Una pratica, questa, sempre più diffusa in Italia e nel mondo e capace di sottrarre ai malcapitati informazioni personali e finanziarie molto importanti.

Cos’è e come funziona il tentativo phishing

Con phishing ci si riferisce ad una truffa online volta a rubare dati privati facendo leva su un inganno psicologico: l’utente, infatti, si trova di fronte ad una finzione difficile da riconoscere come tale e per questo altamente rischiosa.

Il termine deriva dal lessema inglese “fishing”, la cui traduzione non lascia spazio ad interpretazioni: “Pescare”. Come fossero a largo del mare, i cybercriminali lanciano l’amo della frode, con la speranza (spesso certa) di far abboccare la vittima. La modalità preferita è quella della mail: viene recapitato un messaggio di posta elettronica alla persona presa di mira da un’organizzazione o un istituto facilmente ritenuto credibile che porta ad un sito web, dalle sembianze altrettanto verosimili, progettato ad hoc per rubare informazioni.

All’apparenza, dunque, il mittente sembra una fonte affidabile, come la banca di riferimento o un ufficio postale: questi messaggi e la pagina web associata risultano graficamente simili a quelli originali e minuziosi in ogni dettaglio. Per convincere l’utente a dare importanza all’avviso si usa spesso un tono allarmistico del tipo “Se non rispondi entro 48 ore…” o “Ci sono problemi sul tuo conto bancario…”.

Una volta caduto nell’inganno, il malcapitato fornisce autonomamente password, numero di conto corrente o altri dati personali ai criminali, convinto di accedere nel portale legittimo per risolvere un problema.

Non solo mail: le altre modalità di phishing

La difficoltà nel riconoscere il tentativo di phishing è dovuto anche alle varie modalità con cui questo può avvenire. Oltre al caso appena descritto delle e-maill, infatti, esistono altre possibilità.

Un’indagine di Kasperky effettuata nel 2017 ha mostrato come i primi obiettivi del tentativo di phishing si registrino su Facebook, Microsoft Corporation e Pay Pal, con modalità del tutto simili a quelle sopra riportate.

Esempi di casi di phishing

È cresciuto esponenzialmente negli ultimi anni il numero di casi di phishing.

Tra i più noti si ricorderà quello che portava la (falsa) firma di Netflix: nel 2017, infatti, diversi abbonati della famosissima piattaforma streaming di film e serie tv vennero frodati delle informazioni personali e di quelli della carta di credito attraverso una mail che li sollecitava ad effettuare di nuovo il login e ad aggiornare la password dell’account.

Un altro tentativo molto in voga aveva come mittente un presunto nobile nigeriano che, impossibilitato a sbloccare il proprio conto bancario, invitava il ricevente ad aiutarlo in cambio di un ricco contributo economico.

Come difendersi dal tentativo di phishing

Anche per i più attenti, spesso è difficile proteggersi dal tentativo di phishing: con il tempo gli attacchi stanno diventando sempre più sofisticati, psicologicamente provanti e in linea con le abitudine del destinatario. Sapere che si corre il rischio aiuta, ma basta un attimo di distrazione per andare incontro a spiacevoli conseguenze.

Difendersi è possibile: ecco piccoli ma importanti accorgimenti da tenere sempre in considerazione:

1. Gestire con cura le proprie informazioni personali ed evitare di diffonderle

2. Non cliccare sul link della mail, ma approdare autonomamente sul sito dell’organizzazione originale da una nuova finestra del browser

3. Usare esclusivamente connessioni sicure quando si accede a siti sensibili

4. Controllare che la connessione sia HTTPS

5. Utilizzare software per la sicurezza su Internet

Come ricorda il sito della Polizia Postale, poi, gli istituti di Credito e le Società che emettono carte di credito non chiedono mai attraverso la mail la conferma dei dati personali ma unicamente mediante canali certificati.