Guida pratica al phishing
Cos’è il phishing?
La parola phishing deriva dall’inglese e significa letteralmente “pesca”. In senso metaforico, si tratta della “pesca” di dati sensibili online.
In ambito informatico, il phishing consiste in un’attività illegale finalizzata a ottenere l’accesso a informazioni personali, riservate o lavorative, che ha per scopo il furto di identità. Il tutto si realizza mediante l’invio di email. Queste email provengono da mittenti che possono apparire reali, o comunque verosimili. Il loro contenuto spesso fa riferimento a inviti ad accedere a siti che imitano la grafica di quelli istituzionali, ma che poi si rivelano falsi.
Qual è il suo scopo?
Lo scopo del phishing è quello di ottenere, tramite l’escamotage delle mail solo all’apparenza reali, varie informazioni relative al soggetto colpito; in particolare, le più frequenti sono le password di accesso ai servizi online o al conto corrente, oppure il numero della carte di credito. Questi dati, una volta scoperti dai truffatori, vengono utilizzati dagli stessi per scopi illegali.
Come riconoscere il phishing e cosa fare
Verificandosi tramite l’invio di email, sarà proprio quest’ultima a dover essere attentamente verificata, per capire se ci si trova di fronte a un tentativo di phishing oppure no.
Ma come riconosco nello specifico un tentativo di phishing?
L’Università di Trento, per far fronte a questo tipo di pratica illegale, ha fornito ai suoi studenti un elenco esaustivo, contenente gli elementi formali ai quali bisogna prestare attenzione per capire se ci si trova di fronte a un tentativo di phishing.
Questi elementi sono:
- presenza di parole straniere, errori di traduzione o refusi ortografici. In particolare, bisognerà prestare attenzione alla concordanza dei generi o di plurale e singolare;
- presenza di caratteri diversi tra loro;
- il nome del mittente appare strano, e/o così il suo indirizzo email;
- stranezze nel nome del destinatario;
- l’indirizzo sul quale cliccare, riferito a un sito web, riporta lievi differenze rispetto all’originale al quale vorrebbe rimandare;
- mancanza di informazioni sufficienti, ad esempio sul servizio proposto;
- presenza di elementi che vanno contro il buon senso (ad esempio, offerte di regali).
Ciò che è importante, quindi, è non cliccare assolutamente sul link riportato nella email. Qualora lo faceste, infatti, tutte o molte delle vostre informazioni (anche sensibili) potrebbero essere rubate dai truffatori.
Alcuni attacchi di phishing sono piuttosto sofisticati e l’URL di destinazione può sembrare una copia carbone del sito originale. In questo caso, se è possibile recatevi direttamente sul sito attraverso il motore di ricerca, invece di cliccare sul link.
Le tecniche più comuni
La tecnica più comune di phishing, quindi, è sicuramente quella che si realizza con le email: un email sospetta che viene inviato al vostro indirizzo di posta elettronica. È importante sottolineare, tuttavia, che spesso si tratta non di un attacco mirato, bensì di un attacco che può essere condotto tramite il phishing malware di massa. Questo attacco di phishing può arrivare a compromettere anche l’intero computer.
Esiste poi anche un SMS phishing, il quale propone agli utenti di smartphone dei collegamenti dannosi, spesso sotto forma di avvisi, SMS e notifiche.
In conclusione
In generale, al giorno d’oggi la maggior parte dei browser ci avvisa quando riconoscono i segni di un sito web dannoso.
In ogni caso, il passaggio più importante è però quello di non fornire le vostre informazioni a dei siti non protetti. Se l’URL del sito web, non inizia con HTTPS o non è possibile visualizzare un’icona a lucchetto chiusa accanto all’URL, per precauzione sarebbe meglio non inserire informazioni riservate o scaricare file da quel sito. Questi siti senza certificati di sicurezza potrebbero non essere destinati a truffe di phishing, ma è meglio prevenire.
È sicuramente molto importante cambiare regolarmente le password, così da impedire agli utenti malintenzionati di accedere ai vostri account e ai vostri dati. Inoltre, non bisogna ignorare gli aggiornamenti che ci vengono proposti: rischiamo altrimenti di essere più vulnerabili agli attacchi di phishing.
Come ultima regola generale: non fornite informazioni importanti, a meno che non siate certi al 100% dell’affidabilità del sito.
A cura di
Martina Nicelli
FONTI:
CREDITS: