Che cos'è il Phishing e come proteggersi anche dalle altre forme di truffa

L'abbondanza d'informazioni diffuse sul web, sui social network (Instagram, Linkedin, Twitter, Facebook, ecc.) facilita agli hacker la raccolta d'informazioni sulla propria vittima. Indagare su un "bersaglio" diventa quindi un "gioco da ragazzi" per i criminali informatici.

Chi sono i phisher?

I phisher sono criminali informatici con elevate conoscenze e competenze informatiche; fingono di essere un mittente stabilito (fornitore, ente, amministrazione, collaboratore, social network ecc.) e tentano di estrarre informazioni personali e/o professionali (password, identificatori di connessione, ecc.).
Possono anche indurre a fare clic su un collegamento o un file che, una volta attivato, introdurrà malware (virus, worm, ransomware) nel tuo computer.

Ai cyber criminali non manca certo la fantasia e possono inventare vari scenari, dalle fatture false alle offerte allettanti e a vincite milionarie; spesso richiedono da parte della vittima un intervento immediato, suscitando emozioni, utilizzando molteplici e variegate tecniche di manipolazione al fine di portare a termine la propria spedizione di phishing. Molte di queste truffe inviano messaggi in cui scrivono "Mi è sembrato di vederti in questo video" con link su cui vorrebbero farci cliccare. Non fatelo! Non lasciatevi prendere dalla curiosità. È una truffa!

In base alla truffa, possono chiedere alla potenziale vittima dati importanti, come quelli di previdenza sociale, della carta di credito e le informazioni di accesso.

Ogni giorno vengono inviate miliardi di e-mail. Guardando la sua casella di posta, l'utente Internet potrà trovare, infatti, alcune offerte di negozi, informazioni dalla sua banca o un messaggio tanto atteso di un suo amico che finalmente gli invia le foto delle vacanze trascorse insieme. O almeno pensa che queste e-mail siano importanti e provengano dagli e-tailer spesso contattati, dalla sua banca o dal suo amico.

Come si fa a sapere se le e-mail sono legittime e non una truffa di phishing?

Normalmente, le e-mail di phishing somigliano a notifiche urgenti (ma false) inviate da organizzazioni, Internet provider, istituti finanziari, portafogli digitali che, per sembrare più realistiche, contengono immagini ufficiali, loghi e persino indirizzi, che poi ovviamente saranno falsi.

Su Internet, ci sono molte forme di truffe, che possiamo racchiudere in un unico termine, Cyber crime o crimine informatico. La situazione è un po' complicata e non ha una soluzione facile; tra i reati o crimini informatici più noti, ci sono anche il cyber stalking, l'hacking (diffusione di virus informatici), la diffamazione e ingiuria tramite strumenti informatici, lo spamming, il cyber terrorismo e molti altri ancora.

Contrastarli legalmente non è semplice, anche perché la legge dovrebbe seguire il progresso tecnologico che corre alla velocità della luce. E sappiamo bene che le leggi, soprattutto in Italia, non hanno tale velocità. C'è comunque la legge 547, relativa ai reati informatici e la successiva modifica del 2008, che tutela l'utente vittima di tali reati.

Le truffe online

Da sospette "offerte speciali" a canoni di dubbia origine, da avvisi di vincite milionarie alle notifiche urgenti da enti pubblici, le truffe sono così comuni tra gli utenti online da essere letteralmente radicate nella cultura del World Wide Web. Il cyber crime è un fenomeno purtroppo in grande espansione, perché sul web è facilissimo truffare ed essere truffati. Il cyber criminale sfrutta la rete e ogni tipo di mezzo tecnologico, dallo smartphone al computer, tramite sms, social network e le e-mail. E può farlo da qualunque parte del mondo: si nasconde su Internet per sfruttare la fiducia, la paura o semplicemente l'ignoranza dell'utente ingenuo. Molto spesso sono i social network che facilitano queste azioni criminali, perché ignari e incoscienti utenti inseriscono dati molto personali.

Che cosa sono il Phishing, lo Spear Phishing, lo Smishing e il Vishing?

Esistono diverse forme di attacchi informatici utilizzati da questi criminali del web, tra questi citiamo:

• il phishing classico, più remoto, noto anche come Spray and Pray phishing.
• Lo Spear phishing, ancora più perfido del sopra citato phishing, perché prende di mira una persona specifica, spesso anziani e persone sole, soprattutto donne, oppure un impiegato di una grande azienda.
• Con lo smishing (parola derivata dalla contrazione di "SMS" e "phishing") i truffatori acquisiscono dati personali e informazioni bancarie con gli sms che sembrano (ma non lo sono) provenire da fonti ufficiali.
• Le truffe vishing (dalla contrazione della parola "voice" e phishing) vengono fatte telefonicamente; con questa telefonata, chi chiama si atteggia falsamente a un'azienda legittima. Molto sofisticata, questa tecnica è spesso la più efficace, perché la vittima è coinvolta con una persona reale all'altro capo del telefono.
• Il Ceo phishing, truffa molto sofisticata che mira i dipartimenti finanziari e le risorse umane di una grande azienda.

Sono alcune delle varie tecniche di manipolazione per conoscere dati sensibili e punti deboli delle vittime, ma anche interessi, gusti e luoghi frequentati.
Noi oggi ci concentriamo su i primi due.

Che cos'è lo Spray and Pray Phishing

Il Phishing (dall'inglese To fish, pescare), noto anche come spray and pray phishing, in breve, è una forma di frode digitale in cui un hacker tenta di indurre qualcuno a divulgare informazioni riservate.

I phisher usano questa tecnica per inviare e-mail contrassegnate come "urgenti", chiedendo alla potenziale vittima di aggiornare la propria password PayPal, ad esempio o di inserire i propri dati bancari per riscuotere un'ipotetica vincita alla lotteria.

È un attacco su larga scala dove la mail è l'esca che attira i bersagli su un gancio digitale dove poi cadono nelle grinfie dell'attaccante.

Dando, infatti, a questa e-mail un aspetto legittimo (come ad esempio la e-mail di una banca), il cyber criminale cerca di indurre i destinatari ignari a scaricare un software dannoso o a inserire informazioni riservate su un sito Web falso. Anche in questo caso, questi siti falsi hanno tutto l'aspetto di siti Web legittimi, ma non lo sono. Il loro unico obiettivo è frodare gli utenti di Internet invitandoli a rivelare i loro dati personali ai quali poi potranno accedere. Le e-mail di phishing possono essere inviate a un gran numero di destinatari per massimizzare le possibilità di raggiungere l'obiettivo.

Che cos'è lo spear phishing?

Lo spear phishing è una forma di phishing che in genere si basa su un attacco mirato a un individuo o un'azienda. Il termine inglese spear significa "lancia" e si riferisce alla caccia con la lancia. In un attacco di spear phishing, molto spesso sono usati link falsi.

Prendiamo, ad esempio, una truffa fiscale: la vittima riceve una mail che sembra dell'Ufficio delle Entrate; presa dal panico, con un po' di soggezione perché crede di dover soldi al fisco, fa clic sul collegamento fornito. A prima vista, il collegamento sembra legittimo; può anche contenere l'URL "reale" del sito fiscale. Una volta cliccato, però, l'utente viene reindirizzato a un sito fittizio che gli chiede informazioni e dati personali, e nel frattempo il phisher potrà installare sul dispositivo o sulla rete un malware/virus. Inoltre molti truffatori vendono i dati e le informazioni acquisiti ad hacker e criminali informatici, specializzati nel furto d'identità, presenti sul dark web.

Sono davvero tante le tipologie di truffe, come quella della consegna di ipotetici pacchi, messaggi che informano della vincita di una grossa somma in una tale lotteria e tanti altri ancora.

Questi attacchi sono spesso perpetrati su persone anziane o con competenze tecnologiche limitate, ma è anche capitato a molti giovani.

Le conseguenze del phishing sono devastanti e pericolose per le vittime. Alle singole persone possono rubare dati riservati o interi conti finanziari, persino il furto d'identità, con le conseguenti problematiche economiche ma anche psicologiche, perché le vittime si sentono violate nel loro intimo, creando loro imbarazzo e vergogna.
È assolutamente necessario e importante capire bene come fare a difenderci.

Come proteggersi dagli attacchi di phishing

Ecco alcuni consigli per proteggerci dal phishing, iniziando dalla prudenza, conoscenza e pensiero critico, che rimangono i nostri migliori alleati.

Innanzitutto controlla bene l'URL dei link. Prendiamo ad esempio un sito famoso come Netflix: se l'indirizzo email che ti è arrivato è info@netfilx.com, si capisce subito dal nome che è falso, poiché quello giusto è info@netflix.com. Leggi bene il messaggio, sottili errori di ortografia e grammatica della lingua italiana, eventuali irregolarità, accenti e punteggiatura sbagliati, verbi errati, ad esempio, devono avere la tua massima attenzione.
Non condividere mai le tue informazioni personali; se proprio devi farlo, fai molta attenzione quando condividi dati personali o professionali.

Verifica sempre che il sito sia sicuro: cerca sempre il prefisso "https" (Hypertext Transfer Protocol Secure) all'inizio della barra dell'indirizzo (e non HTTP) oppure deve esserci la presenza dell'icona di un lucchetto, per assicurarti che le informazioni che inserisci siano sicure.
Quando devi connettere dati della tua società, organizzazione, istituzione, amministrazione del tuo lavoro, usa solo quello del tuo sito web; potresti lasciare tracce di dati sensibili.

Ricorda che enti importanti come l'Agenzia delle Entrate, non inviano mai per posta elettronica dati personali dei contribuenti.

Consigli utili di sicurezza e protezione dalle truffe online

• Controlla bene la sicurezza della tua casella di posta. Capisco benissimo che il tempo non basta mai con le tante cose che ci assillano quotidianamente, ma il mio consiglio è non perdere mai la vigilanza sulle mail.
• Se hai dubbi sulla mail arrivata perché l'indirizzo mail è sconosciuto, non fare clic su "Rispondi" o su "Inoltra" e sui collegamenti o allegati presenti nelle email. Spesso portano a pagine fasulle, simili all'originale o, peggio, al download di malware dannosi per il tuo dispositivo. Puoi invece cercare sul web e controllare se l'azienda, l'email e il numero, sui quali hai dei dubbi, possono essere legittimi e reali. Leggi bene il numero, spesso sono abilitati per sottrarti soldi dal tuo cellulare.
• Se ritieni che un truffatore abbia ottenuto i dati della tua carta di credito o del conto bancario, chiama subito il tuo istituto di credito e chiedi conferma del contenuto del messaggio.
• Lo stesso per quanto riguarda la previdenza sociale: memorizza bene, l'Inps non invia mai comunicazioni tramite posta elettronica con link cliccabili e/o allegati da scaricare.
• Usa una password univoca per account, non collegata ai tuoi dati personali o riferita a eventi familiari; puoi anche crearla con un generatore di password, però non garantiscono molta sicurezza. Meglio crearla personalmente, che sia lunga e con caratteri speciali, usati maiuscoli e minuscoli e numeri. Fai in modo di memorazzarla bene, mi raccomando!
• Usa un filtro anti-spam e imposta la cartella "spam" del tuo sistema di messaggistica così che le mail dubbie, che puoi registrare come spazzatura, siano inviate direttamente in questa cartella.
• Fai attenzione quando fornisci i tuoi indirizzi email, sia personali che professionali.
• Non usare mai la tua mail per uso personale con quella professionale e viceversa.
• Controllate sempre l'affidabilità dei siti che volete visitare, non fidandoti delle recensioni degli altri utenti presenti sul sito, perché potrebbero essere falsi.
• Non usate le carte di credito per pagare, preferendo sempre una ricaricabile.
• Usa un software antivirus che sia in grado di rilevare e isolare o addirittura rimuovere il malware scaricato sui dispositivi. Online puoi trovare molti programmi antivirus gratuiti, anche a livello professionale.

La prevenzione è la miglior difesa

Sebbene la protezione dal phishing dipenda in gran parte dal singolo utente, hai già fatto molto in difesa se sei a conoscenza di queste truffe. Se ti armi semplicemente della consapevolezza che non tutti i mittenti sono chi dicono di essere, sarai già un passo avanti rispetto ai piani di un criminale informatico.

Tieni però presente che mentre i suggerimenti di cui sopra per rilevare i casi di phishing sono coerenti e affidabili, le specifiche di ciascuna truffa cambiano costantemente.

I truffatori sviluppano regolarmente nuove strategie per ingannare le persone ignare. Questo è il motivo per cui dovresti sempre tenere d'occhio i nuovi schemi utilizzati da questi truffatori.

Tutto ciò è particolarmente critico in questo momento, poiché gli attacchi informatici sono ancora diffusi e in costante aumento. I phisher, infatti, approfittano dell'accresciuta paura, dolore e senso di incertezza generati dalla pandemia da Covid-19 e dalla guerra Russia - Ucraina.

Ogni giorno vengono lanciati migliaia di attacchi di phishing.
Sta a te rimanere vigile quando ricevi mail, telefonate o messaggi sospetti!

E tu, come fai a proteggerti dagli attacchi informatici?

Ci farà piacere leggere le tue parole e sapere se ti siamo stati utili.
Lascia un commento con un tuo pensiero in merito all'articolo, sarà molto gradito.
Visita la nostra Home, troverai altri consigli utili, tante ricette e curiosità.
Seguici anche su Telegram, Instagram, Pinterest e Facebook, grazie.

Ti aspettiamo!

Di Antonino Napoli

Commenti sull'articolo

Lascia il tuo commento