Anche la rete ha le sue epoche, segnalate dal grado di complessità delle possibilità che offre. La comparsa della posta elettronica è ormai un evento non proprio recente, e quindi non solo i più giovani ne conoscono le insidie. È però possibile che non tutti, nel mare magnum del gergo tecnico di Internet, abbiano chiaro cos’è il phishing: spesso lo associamo alle email, ma non è più così semplice.
Cos’è il phishing?
Innanzitutto, il phishing è una truffa. L’obiettivo dei cyber criminali che la mettono in atto, è rubare i dati personali e le informazioni (nella maggior parte dei casi, finanziarie) di chi usa la rete. È una forma di inganno che fa leva sulla fiducia che l’utente è generalmente portato ad accordare a mittenti che considera attendibili, e per questo può essere considerato una sorta di adescamento. Eloquentemente, il termine è una variante del sostantivo ‘fishing’, che significa pesca. I cyber-criminali che lo attuano, infatti, lanciano il loro “amo” a diverse persone, cercando di impossessarsi indiscriminatamente di quanti più dati possibili. Non è però sempre così. Si può essere vittime anche di spear phishing, cioè un tipo di phishing che ha come obiettivo una persona o una organizzazione specifica. Essendo la vittima un obiettivo mirato, in questo caso è ancora più difficile riconoscere che si tratta di una truffa.
Come si realizza?
È bene sapere che il phishing si maschera dietro un messaggio attendibile. Originariamente era una mail, più di recente è un banner o una pagina di sito, ma anche – ancora più di recente – servizi di messaggistica come Whatsapp o Messenger.
Il messaggio, un banner comparso improvvisamente o una pagina di sito che sembra molto simile a quella di una azienda reale, di una banca o di una istituzione – ma che in realtà rimanda a un finto portale gestito da un criminale digitale, spesso ben camuffato – avvisa che c’è un problema con il nostro account. In genere adducendo ragioni di sicurezza, l’utente è invitato a inserire le proprie credenziali personali o finanziarie. Così, in buona fede, l’utente offre i suoi dati a qualcuno di cui è convinto di potersi fidare, senza rendersi conto che non solo li ha messi a disposizione di alcuni criminali, ma che così facendo ha esposto il proprio computer a essere infettato da virus, malware o trojan. Karpesky, un’azienda che si occupa di sicurezza web, ha evidenziato come nel 2017 phishing di questo tipo sia stato praticato non solo via mail, ma anche via Facebook, Microsoft e Paypal. Se in caso di email lo strumento usato è un falso messaggio, sempre più cybercriminali fanno phishing creando false pagine social.
Come difendersi dal phishing?
Un buon antivirus dovrebbe dirottare i messaggi sospetti nella cartella spam, ma non avviene sempre. Quindi, per difendersi dal phishing, si possono seguire alcune accortezze.
- In genere i phishing (non nel caso dello spear phishing) sono inviati a molti utenti, e contengono quindi intestazioni generiche. Meglio diffidare.
- È bene ricordarsi che le aziende o le istituzioni non chiedono dati direttamente tramite banner, e soprattutto non lo fanno mai sollecitando una risposta rapida. Questa è invece una caratteristica tipica del phishing. Se leggete messaggi tipo “se non rispondi, il tuo profilo sarà cancellato entro 12 ore” verosimilmente siete vittime di phishing.
Come evitare il phishing sul tuo sito?
Esistono alcune semplici strategie che si possono mettere in atto per proteggere dal phishing il proprio sito: non si possono eliminare le esche, ma tenere alta l’attenzione è un buono stratagemma per riconoscerle.
- Se sul tuo sito appare un banner che non riconosci, potrebbe essere un’esca.
- È utile cambiare spesso i file chiave del sito.
- Se notate link sospetti, si possono seguire alcuni accorgimenti: controllare che il dominio sia preceduto da HTTPS e verificarne il nome. Verificare che il sito segnalato sia lo stesso a cui il link conduce: basta passare il cursore sul link. Utilizzare sempre connessioni sicure. In generale, per accedere a siti sensibili, meglio evitare sempre wifi pubblici o connessioni sconosciute.
Come ci tutela la legge?
Se si è stati vittime di un attacco, indipendentemente dal fatto che sia riuscito o meno, è bene ricordare che il phishing è un reato, e come tale deve essere denunciato alla Polizia Postale. Basta connettersi al Commissariato di Polizia online, che raccoglie le segnalazioni per tutti i reati in rete. È bene farlo in ogni caso, per evitare che altri siano truffati dallo stesso hacker. Se invece siamo stati truffati, prima della denuncia è bene segnalare l’avvenuta truffa all’amministratore del portale originale. La denuncia si può fare tranquillamente da casa: sarà la Polizia postale, una volta compilato l’apposito form, a trasmettere tutto alla Procura e poi a portare avanti un regolare procedimento per truffa.
FONTI:
CREDITS: