Cos'è il phishing e come funziona
Come abbiamo detto, il termine phishing, che rimanda alla pesca, all'abboccare, indica delle vere e proprie truffe online, che vengono diffuse principalmente attraverso e-mail o siti web poco verificati, ma anche per mezzo di SMS o social come WhatsApp e Facebook.
Cascare in questa truffa è, purtroppo, molto semplice poiché spesso il messaggio che si riceve sembra provenire da enti conosciuti personalmente dall'utente (la propria banca, Amazon, famose catene di librerie, ecc.), i quali richiedono all'utente di inserire i propri dati personali, al fine di ricevere dei vantaggi, come, per esempio, dei buoni sconto, oppure per far fronte a dei problemi di sicurezza.
Un attacco di phishing, quindi, si struttura solitamente in tre fasi ben precise.
- La prima prevede, come abbiamo detto, l’invio di alcuni messaggi falsi da parte di bot, su una veste grafica (logo, identità) fatta ad hoc per imitare enti riconosciuti come ufficiali. Solitamente l’oggetto dei messaggi è molto spesso correlato a un problema di sicurezza, Il testo è conseguentemente molto allarmante e implica la necessità immediata di controllare lo stato del proprio account.
- L'utente, infatti, è successivamente invitato a cliccare su un link contenuto nulla stessa mail o messaggio e ad inserire i propri dati personali in un portale che, di nuovo, assomiglia graficamente in tutto e per tutto al portale dell'ente che è stato falsificato.
- E' in questo punto che bisogna fare attenzione, poiché, inserendo le credenziali, i dati sensibili verranno irrimediabilmente copiati all’interno dei server dei cybercriminali che hanno effettuato l'attacco, per poter essere poi, da loro, sfruttati a piacimento per effettuare le relative truffe.
Ovviamente sarebbe meglio non aprire proprio il link, perché, talvolta, può esso stesso portare dei virus nel dispositivo.
Come difendersi dal phishing
Una prima modalità di protezione dalle truffe online è già messa in moto dai principali fornitori email, come Gmail, Outlook, ecc., che provvedono di per sé a munire la casella di posta elettronica di una barriera contro gli attacchi di phishing, isolando la maggior parte delle email false nella casella Spam. Ciò nonostante, non è raro che alcune riescono a sfuggire al controllo applicato, e dobbiamo essere in grado di riconoscerle da soli. Vediamo quali sono i dettagli a cui dobbiamo fare attenzione.
Nome e indirizzo del mittente
Controllare il mittente dell'e-mail ricevuta è molto importante. Chiedetevi se siete mai entrati in contatto con l'ente che vi scrive e se gli avete mai fornito il vostro indirizzo e-mail ma, soprattutto, ispezionate l’indirizzo per intero confrontandolo con gli ipotetici messaggi che avete già ricevuto dall'ente. Se dovessero non coincidere, è molto probabile che si tratti di una truffa.
Espressioni di apertura dell’e-mail
Solitamente gli enti ufficiali si rivolgono ai propri clienti chiamandoli per nome, se un messaggio comincia con una forma standard come "Gentil Signori", "Egregio cliente". ecc., è verosimile che si tratti di un ente che sta inviando e-mail "in blocco", senza distinguere la singola persona, e che sia, perciò, una mail falsa.
Errori grammaticali e ortografici
Un messaggio contenente errori grammaticali, di ortografia, strane formulazioni o caratteri di altri alfabeti sono un chiaro segno delle intenzioni disoneste di quella e-mail, la quale, molto probabilmente, è stata scritta in un’altra lingua e successivamente tradotta con un traduttore automatico.
Urgenza
Se nella mail è contenuto un invito ad un azione immediata e urgente è necessario avere cautela. Il messaggio di phishing spesso spinge ad agire in modo rapido e senza riflettere, ma nessuna azienda minaccia un blocco della carta di credito o chiede di aggiornare o inviare i propri dati a un indirizzo e-mail entro 48 ore. In questi casi, prima di cliccare link o scaricare allegati, rivolgetevi sempre all’assistenza clienti dell'ente.
Nessuno regala niente
Le e-mail che annunciano vincite di buoni in denaro, di smartphone, di eredità di un lontano parente, o di qualsiasi tipo di premio, sono quasi sempre false e dovrebbero suonare come un campanello di allarme.
Come denunciare un attacco di phishing
Una delle azioni più utili che un utente colpito dal phishing può compiere direttamente è quella di segnalare l'attacco alla polizia postale: questo aiuterà anche altri utenti, oltre alle forze dell'ordine, a individuare altri attacchi simili.
Per fare ciò, basta visitare il sito on line della Polizia di Stato e compilare il form presente nella sezione “Scrivici” selezionando la voce “Polizia Postale” nel menù a tendina “Categoria”.
Se, invece, la situazione è più grave e hai fatto sì che i cybercriminali ottenessero direttamente i tuoi dati personali, allora devi prima rivolgerti all'autorità competente (ad esempio, se hai inserito i dati di PostePay, devi deve contattare Poste Italiane, e così via), modificare la password, e sporgere denuncia formale.
