
Sommario degli argomenti
-
Cos’è il phishing
-
Tipi di phishing
-
Come identificare un attacco phishing
-
Difese contro il phishing
-
Cosa fare in caso di phishing
-
Conclusioni
Il phishing è uno degli attacchi informatici più semplici e più diffuso di tutti i tempi.
Nonostante questa condizione, il fenomeno del phishing riesce sempre a trarre in inganno le sue vittime ed è estremamente pericoloso perché può essere vettore di ulteriori infezioni informatiche.
Questo reato informatico, infatti, non richiede una particolare bravura tecnica. Non fa leva sulle falle della sicurezza del sistema informatico quanto più sulle debolezze della mente umana (tecnica definita social engineering). Il phishing per riuscire a ingannare le sue vittime sa come sfruttare le nostre paure e alcune emozioni tra cui: paura, fretta, ansia.
Per questo motivo, si dice che il phishing sia una delle truffe informatiche più pericolose, e da cui è sempre più difficile difendersi.
Ma andiamo con ordine e vediamo in cosa consiste questa truffa online e qual è la migliore difesa.
Il phishing potrebbe essere considerato una forma di adescamento online. Il truffatore, infatti, inganna l’utente e fa in modo che gli fornisca i suoi dati personali.
Ad esempio:
-
Username;
-
Password;
-
Codici di accesso;
-
PIN;
-
Numeri di conto corrente;
-
Dati della carta di credito.
Il criminale informatico usa, poi, queste informazioni per compiere altre azioni criminose.
Per esempio, potrebbe rubare i vostri account social e usarli per vendere merci illegali, oppure rubare i soldi dalla carta di credito.
Di solito, il phishing si diffonde via e-mail.
Il mittente di questa e-mail sembra attendibile. Magari apparentemente il dominio sembra appartenere alla vostra banca, alle posta, oppure ad un’azienda. Il testo del messaggio e-mail contiene qualcosa volto a spaventare la vittima.
Per esempio, spesso i messaggi di phishing comunicano che che è stato riscontrato un problema di sicurezza e per questo è necessario inserire le proprie credenziali per confermare la nostra identità. Solitamente viene fornito un link esterno per inserire i dati richiesti.
Anche se il sito a cui si viene reindirizzati è truffaldino, è difficile rendersene conto perché viene ricostruito quasi fedelmente.
Di solito, l’utente vittima di phishing inserisce i suoi dati velocemente, per paura che altri utenti indesiderati possano compromettere o entrare in possesso dei suoi dati. Ma è proprio questa paura innata a far perdere poi l’account. I dati vengono, infatti, trasmessi direttamente al criminale informatico.
Anche se il metodo più tradizionale di diffondere le campagne di phishing è quello illustrato poco fa, in realtà negli ultimi anni si stanno affermando anche altre modalità di diffusione delle campagne phishing.
Vediamo i principali.
Spear phishing
La maggior parte delle campagne di phishing viene diffusa massivamente:
la stessa e-mail viene invitata a molti indirizzi e-mail poiché statisticamente una parte degli utenti abboccano.
Lo spear phishing, invece, è costruito in modo da essere mirato per il singolo utente. Questa categoria di truffe richiede un’analisi e una raccolta di informazioni preliminari sulla vita e in generale, sulla sfera personale della vittima.
Grazie a questa ricerca, anche l’email di spear phishing inviata alla vittima sarà molto più credibile.
La possibilità che la truffa vada a buon fine è perciò notevolmente più alta. Per questo motivo, viene rivolta a dipendenti di grandi aziende, ad esempio responsabili amministrativi nelle aziende.
Clone phishing
Il clone phishing è un tipo di truffa online in cui l’hacker utilizza vecchie e-mail veritiere.
Sostituisce, però, il link con un collegamento utile al raggiungimento dei suoi fini. L’utente, in questo modo, ha più possibilità di non dubitare della fonte della richiesta. Clicca sul link e fornisce al criminale le proprie credenziali.
Phone phishing
… o voice phishing (vishing).
Il phishing può svolgersi anche per messo degli smartphone e in particolare sfruttando le chiamate truffaldine.
Il truffatore chiama la vittima fingendosi, per esempio, un ente bancario, e chiede insistentemente alla malcapitata informazioni personali per risolvere un presunto problema sulla consegna di un pacco.
Una variante del phone phishing è l’SMS phishing in cui la richiesta viene avanzata via messaggio (SMS) su cellulare.
Truffa alla nigeriana
La truffa alla nigeriana è una variante di phishing in cui il mittente dell’e-mail si presenta come principe nigeriano, ovviamente fasullo. Quest’ultimo afferma di avere bisogno di aiuto per trasferire milioni di dollari fuori dalla Nigeria o comunque al di fuori di un paese d’oriente.
A tal proposito, il finto principe, chiede le coordinate del conto bancario della vittima, in modo da poter trasferire questa grande quantità di denaro.
Tutto questo, ovviamente, in cambio di una ricompensa. Ovviamente anche in questo caso ci troviamo di fronte ad una truffa bella e buona.
Se siete incuriositi da questa variante scam, leggere l’approfondimento dedicato qui sul nostro blog cybersecurity.
Social media phishing
Ormai il phishing non riguarda soltanto l’invio di e-mail, bensì il fenomeno coinvolge persino le piattaforme social network.
Si sta, infatti, diffondendo sempre di più il fenomeno del phishing sui social media. Questo vuol dire che i messaggi truffaldini possono arrivare anche su Facebook, su Instagram o su Twitter. Magari apparentemente da parte del social network stesso.
La modalità è la medesima: il messaggio contiene un link esterni alla piattaforma che condurranno la vittima all’interno di una pagina nel quale viene posizionato un form di contatto per inserire i propri dati di accesso. Ecco che tramite questa modalità le credenziali che vengono rubate dai criminali informatici.
Come abbiamo detto, il phishing fa leva sulle paure, sulle insicurezze e sull’ingenuità degli utenti per riuscire nell’intento di sottrarre credenziali e informazioni riservate. Per questo motivo, una prima grande difesa contro questa truffa informatica è la consapevolezza. Se l’utente viene a conoscenza dell’esistenza del phishing e le forme in cui si manifesta, è certamente poco probabile che ne cada vittima.
Ecco, quindi, una serie di consigli per identificare un attacco phishing
-
Attenzione agli errori grammaticali presenti nelle e-mail che ricevete. In alcuni casi di phishing il testo del messaggio contiene errori ortografici e storpiature nel nome del mittente.
-
Attenzione al mittente. Potrebbe trattarsi di phishing anche se il mittente è conosciuto, ma non è tra i tuoi contatti o non ci comunichi spesso. Questo soprattutto per quanto riguarda le e-mail di lavoro.
-
Attenzione al tono di urgenza. Se il messaggio contiene un tono allarmante e vi esorta a cliccare subito sul link, prima che sia troppo tardi, probabilmente si tratta phishing. Questo tipo di truffa fa leva proprio sul senso di urgenza.
-
Attenzione agli allegati. Se il messaggio contenesse allegati inattesi e inconsueti, potrebbero essere malware o altri tipi di minacce.
-
Attenzione ai link sospetti. Prima di aprire un link, è sempre bene verificare quale sia il suo url effettivo andandoci sopra con il cursore. Per evitare di cadere nel phishing, piuttosto è meglio digitarlo a mano, per essere sicuri della veridicità del sito web.
-
Ricordare che nessuno regala niente. Se un messaggio annuncia una vincita a qualcosa, in linea di massima si tratta di phishing. Se è troppo bello per essere vero, certamente è una truffa.
Saper identificare un’e-mail o un messaggio di phishing è fondamentale per proteggersi dal tranello dei criminali informatici. Ma ecco altri comportamenti che possono essere messe in atto per una maggiore sicurezza:
-
Usa solo connessioni sicure. Non sfruttare mai connessioni sconosciute o wi-fi pubblici, soprattutto per accedere ad account personali, o contenenti dati sensibili. In caso di connessione non sicura, infatti, i criminali informatici possono facilmente indirizzarci a pagine di phishing.
-
Non aprire e-mail provenienti da mittenti sconosciuti.
-
Fai attenzione al certificato digitale del sito web a cui sei stato reindirizzato.
-
Verifica che l’url della pagina sia di tipo “https” e verifica il nome del dominio quando apri la pagina.
-
Non condividere dati sensibili con nessuno e per nessun motivo. I siti web di banche o aziende serie non richiedono mai le credenziali dei propri clienti via e-mail
-
Implementare dei software anti-malware e anti-virus. Gli strumenti di sicurezza informatica sono in grado di riconoscere allegati o link ingannevoli.
-
Attivare i filtri anti-spam nella propria casella mail.
Hai ricevuto un’e-mail o un messaggio di phishing?
In questo caso, potresti aver riconosciuto la frode in tempo, oppure essere cascato nell’inganno. Nel secondo caso, non vergognarti, è una truffa davvero subdola ed è facile venire raggirati.
Se sei riuscito a riconoscere il tentativo di phishing in tempo, è essenziale segnalarlo, in modo che non succeda ad altre persone.
Il messaggio fraudolento deve essere denunciato alla Polizia Postale.
Deve inoltre essere segnalato l’indirizzo e-mail del mittente, in modo che sia il sito stesso a prendere provvedimenti.
Evitando, così, che altre persone possano cadere vittime degli stessi criminali informatici.
Se invece avete inserito i vostri dati sensibili, cadendo nel tranello, ecco una serie di azioni che potete intraprendere:
-
Cambiare la password degli account. È buona pratica farlo spesso, ma a maggior ragione se pensate di aver fornito la chiave di accesso a criminali informatici.
-
Contattare la vostra banca in caso di attacco phishing. In caso di un furto bancario, avvertire immediatamente la banca. L’ente bancario bloccherà subito le carte di credito, i conti correnti e gli altri servizi coinvolti.
-
Avvisare il portale e-mail o social, e segnalare il mittente. In modo che anche questi enti possano prendere provvedimenti.
-
Denunciare l’accaduto alla Polizia Postale.
In conclusione, il phishing è tra gli attacchi informatici più semplici, ma anche tra i più pericolosi. Ci sono, però, una serie di azioni che puoi fare per non essere tu la prossima vittima di questa truffa informatica.
Il modo migliore per difendersi dal phishing è senz’altro la consapevolezza. Prendendo coscienza dell’esistenza del phishing e di come si manifesta, le probabilità di caderne vittima diminuiscono drasticamente. Dunque, per difendersi contro questa truffa informatica bisogna prima di tutto sapere come identificare un attacco phishing, facendo attenzione al mittente del messaggio, al tono, agli allegati e ai link.
Poi, le migliori difese contro il phishing sono altre accortezze in apparenza semplici, ma che possono tenerti al sicuro.
Usa soltanto reti wi-fi sicure, evitando quelle pubbliche.
Non aprire e-mail provenienti da mittenti sconosciuti.
Fai attenzione a verificare il certificato digitale dei siti web (prima di condividere qualsiasi informazione personale).
Verifica il dominio delle pagine web, che inizi per “https”.
Implementa software anti-spam e anti-malware.
Ricorda, inoltre, che nessuno ti regala niente e che sul web fidarsi è bene, ma non fidarsi è davvero molto molto meglio. Non condividere tuoi dati personali. Mai. Con nessuno. Per nessun motivo.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.