Ogni giorno, migliaia se non addirittura milioni di persone si scoprono vittime del cosiddetto “phishing”: una particolare truffa che punta a ottenere dati sensibili degli utenti, che si sviluppa tramite internet e che spesso risulta difficilmente individuabile.

Le email phishing infatti sembrano, a un primo sguardo, dei messaggi assolutamente “normali”: messaggi simili a quelli che potrebbero arrivare da un istituto di credito, da un e-commerce, da un fornitore.

In certi casi addirittura da una persona cara. In realtà però l’obiettivo del phishing è adescare l’utente e spingerlo a condividere informazioni personali di valore: codici di accesso, dati finanziari, password e via dicendo.

A ciò si aggiunga che, purtroppo, determinate tipologie di phishing, sono davvero ben fatte.

È il caso, ad esempio, dello spear phishing: un attacco che viene realizzato appositamente per colpire un determinato obiettivo. Ma è anche il caso del clone phishing: una tipologia di truffa molto elaborata, in cui si parte da una email reale/legittima e si vanno a modificare soltanto gli allegati e/o i link presenti al suo interno.

Per fortuna però esistono delle strategie relativamente semplici da applicare, con cui è possibile difendersi anche dal tentativo di phishing più accurato. Da questo punto di vista, il primo passo da fare per combattere questo fenomeno criminale è conoscere in maniera dettagliata di cosa si sta parlando.

Phishing: cos'è e quali sono i pericoli

phishing

Il termine “phishing” è una variazione del termine “fishing” e deriva dal verbo inglese “to fish”, ovvero “pescare”. Non a caso, l’obiettivo di questo genere di truffa consiste proprio nel pescare i dati sensibili di un utente, attraverso false comunicazioni create appositamente per confonderlo.

Le email phishing infatti imitano messaggi legittimi, sia nell’aspetto che nel contenuto: messaggi come quelli generalmente provenienti da un fornitore di servizi, un istituto bancario o magari un negozio online.

Un classico esempio di email phishing è proprio una email apparentemente proveniente da una Banca.

Il truffatore potrebbe comunicare un disservizio di qualsiasi natura, o magari potrebbe segnalare un credito non ancora riscosso dall’utente. In entrambi i casi si tratta di una menzogna inventata di sana pianta, con il solo obiettivo di portare il destinatario a cliccare su un link e a condividere i propri dati personali. Questi link infatti, nella maggior parte dei casi, rimandano a siti fittizi: siti che riproducono ad arte il portale a cui si fa riferimento nella comunicazione fasulla.

Il momento in cui si compie la truffa è proprio quello in cui l’utente accede al sito, effettuando un login. I dati inseriti infatti non portano a nessuna nuova pagina, ma vengono invece archiviati all’interno dei database di chi si cela dietro l’attacco.

L’autore della truffa (poco importa che si tratti di phishing, spear phishing, clone phishing ecc.) entra dunque in possesso di informazioni sensibili dell’utente e può utilizzarle a proprio piacimento. A ciò si aggiunga inoltre che, in certi casi, i siti di cui sopra sono volutamente infettati da programmi nocivi come malware e trojan.

I tipi di phishing: spear, clone, email

phishing

Come visto sin qui, il phishing crea false comunicazioni pensate appositamente per convincere l’utente a effettuare un accesso, lasciando i propri dati personali. Questo genere di truffa può dunque venire praticato all’interno dei contesti più differenti.

È possibile realizzare siti o landing page che abbiano finalità truffaldine: pagine che potrebbero promettere sconti e/o offerte di varia natura, chiedendo in cambio una registrazione. Allo stesso modo, è possibile ricorrere al sopracitato email phishing: una forma di comunicazione truffaldina che arriva direttamente all’interno della posta elettronica dell’utente.

Esistono però ulteriori declinazioni del phishing e, in certi casi, la l’inganno è effettivamente molto difficile da scovare.

È il caso, ad esempio, dello spear phishing, ovvero un attacco che viene realizzato appositamente per colpire un determinato obiettivo. Ancora più ingannevole è il clone phishing, che parte da email realmente esistenti e effettivamente legittime, per modificarne i contenuti.

Nel caso di clone phishing, l’utente riceve una comunicazione plausibile tanto nella forma quanto nel contenuto: il pericolo, in questi casi, si cela all’interno degli allegati o dei link, che sono stati sostituiti ad arte per provare a entrare in possesso di dati sensibili.

Come difendersi dal phishing

phishing

Per difendersi dal phishing occorre innanzitutto alzare il livello di attenzione dedicata alla lettura delle email e, più in generale, dei siti che si visitano. Questo vuol dire controllare tutti gli elementi che vanno a comporre una pagina: i suoi contenuti, i link e gli allegati al suo interno, ma anche l’indirizzo (URL) che la contraddistingue.

È inoltre consigliabile cestinare preventivamente tutte quelle comunicazioni che presentano su promesse troppo belle per essere vere: è il caso, ad esempio delle email phishing che promettono di sbloccare crediti da migliaia di euro.

Lo stesso discorso vale per tutta quella comunicazione che punta sulla paura e su scadenze ravvicinate.

Moltissime email phishing annunciano infatti imminenti chiusure dell’account, o, più in generale, problemi di varia natura, a patto che non si acceda a un determinato link entro una data specifica.

Nella stragrande maggioranza dei casi, queste email sono del tutto fasulle e puntano proprio a generare uno stato d’ansia nell’utente, in modo tale da convincerlo a cliccare sul link e a condividere le proprie informazioni personali.

Infine, è possibile ricorrere a dei tool specifici, pensati per tutelare gli utenti da possibili attacchi phishing. Uno dei più noti e utilizzati in dal senso è Google Safe Browsing: un servizio di sicurezza che analizza le pagine web, individuando script o programmi potenzialmente nocivi.

Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web

A cura di Cultur-e Costruisci il tuo futuro con la connessione Fastweb