Phishing: cos’è, come riconoscerlo e difendersi dalle truffe online

Redazione - Luca Servadei

22/10/2022

Tra le truffe più diffuse online c’è sicuramente il phishing: tramite e-mail ed SMS vengono messi a repentaglio i dati personali degli utenti. Ecco cos’è e come difendersi

Phishing: cos’è, come riconoscerlo e difendersi dalle truffe online

In un mondo sempre più interconnesso, purtroppo, può capitare a tutti di incappare in una truffa online. Spesso e volentieri sui nostri smartphone o PC riceviamo SMS o e-mail finti realizzanti in modo accattivante con un solo scopo: quello di estorcere informazioni personali per realizzare una vera e propria truffa. Si chiama phishing ma in pochi sanno cos’è e come difendersi.

Innanzitutto spieghiamo cosa si tratta. Con il termine phishing si indicano vere e proprie truffe online diffuse principalmente attraverso e-mail o siti web poco sicuri, ma non mancano i casi più eclatanti via WhatsApp e Facebook.

Cadere in questa truffa è, purtroppo, estremamente semplice: il più delle volte, infatti, il messaggio che si riceve sembra provenire proprio dalla banca nella quale siamo correntisti o da un operatore di credito, ma è proprio lì che si nasconde il tranello: hackerare i dati personali degli utenti, come password e numeri di carta, che vengono, di fatto, gentilmente concessi dagli utenti stessi.

O per essere più precisi, da quelli che abboccano alla truffa. Proprio come nella pesca, infatti, il phishing sfrutta un’esca semplice diffusa attraverso e-mail o altro con messaggi allarmanti e (paradossalmente) riguardanti proprio la sicurezza del dispositivo o del conto.

Riconoscere un attacco di phishing online è per fortuna abbastanza semplice ma il fenomeno non è comunque da sottovalutare: le e-mail di questo tipo si moltiplicano, diversificano e affinano ogni giorno ed evitare di cadere nel tranello richiede sempre la massima attenzione.

Phishing: cos’è e come funziona

Il phishing è quindi una vera e propria truffa che sfrutta la posta elettronica o i messaggi di testo (siano essi SMS o WhatsApp) per rubare informazioni e dati appartenenti al destinatario. Un attacco phishing si struttura solitamente in diverse fasi ben precise e per questo abbastanza comuni e riconoscibili anche dagli utenti meno esperti.

La prima prevede, ovviamente, l’invio da parte di bot di alcuni falsi messaggi che imitano (quasi alla perfezione) istituti, provider o enti riconosciuti come ufficiali dei quali viene ripresa l’impostazione grafica, il logo e l’identità.

Solitamente quando l’utente colpito da phishing riceve questo tipo di messaggi l’oggetto è quasi sempre correlato a un problema di sicurezza, a un tipo di attacco hacker che (guarda caso) ha messo a rischio proprio i dati personali. Il testo è solitamente molto allarmante e implica la necessità immediata di controllare lo stato del proprio account cliccando solitamente su di un link contenuto proprio all’interno dell’email o del messaggio di testo.

Uno degli esempi più classici di e-mail phishing

Ovviamente, il link in questione conduce a un sito falso e architettato alla perfezione, sempre su imitazione di un portale ufficiale realmente esistente. Una vera e propria copia per trarre in inganno gli utenti nella quale sono presenti tutte le icone o le schermate che solitamente siamo abituati a vedere sul sito ufficiale del nostro istituto di credito o chi per esso.

E qui che non bisogna cadere nel tranello: inserendo le credenziali i dati verranno inevitabilmente messi a rischio, venendo copiati all’interno dei server dietro l’attacco phishing, per poter essere sfruttati in futuro a piacimento dai malintenzionati autori dell’attacco.

Attenzione anche ad aprire il link al sito clone: meglio evitare, dato che il rischio di essere infettati da un virus di tipo trojan è altissimo (si raccomanda quindi sempre di equipaggiare i migliori antivirus).

Una tipologia particolare di phishing è nota come “spear phishing”, un attacco più mirato che ha come bersaglio tipologie specifiche di utenti, dei quali gli hacker conoscono già interessi e dati sensibili.

Phishing: come riconoscerlo e come difendersi

I principali provider email, come Gmail e Outlook, forniscono già di per sé un’ottima barriera contro gli attacchi phishing (confinando spesso le email fraudolente nella casella Spam). Tuttavia, spesso alcune riescono a sfuggire al filtro applicato, finendo direttamente nella casella di inbox.

In questo caso riconoscere un phishing richiede un buon grado di attenzione, occhio per i dettagli e prudenza: i custodi delle vostre informazioni personali siete solo ed esclusivamente voi stessi per cui prima di fornire dati che normalmente non dovrebbero essere richiesti, specialmente via posta elettronica, pensateci bene e optate sempre per una verifica dettagliata e approfondita.

Nonostante la grafica accurata, quasi sempre è il tono allarmistico a rivelare la vera natura di questo tipo di attacchi: frasi come “rispondi subito” o “completa la verifica o il tuo account verrà chiuso per sempre entro 24 ore” sono spesso il modello base con cui viene realizzato il testo di una e-mail di questo tipo.

Nonostante l’abile contraffazione, spesso un indizio importantissimo per riconoscere un attacco phishing è proprio contenuto nei destinatari della mail: essendo messaggi inviati in blocco a diversi utenti spesso non è possibile verificare i destinatari coinvolti, che rimangono nascosti.

La stragrande maggioranza di enti e aziende non richiede poi alcun tipo di informazione come numeri di carta di credito, codici personali, password e quant’altro attraverso una semplice e-mail. Evitate quindi di fornire questo tipo di informazione se non volete restare coinvolti in una delle esperienze online più spiacevoli e diffuse.

Phishing: come denunciare alla Polizia Postale

Una delle azioni più utili a cui possono ricorrere direttamente gli utenti colpiti da phishing è la segnalazione dell’attacco alla Polizia Postale: in questo modo si aiuteranno anche altri utenti, oltre alle forze dell’ordine, a individuare altri simili attacchi.

Come fare? Basta andare sul sito della Polizia di Stato online e compilare il form all’interno della sezione “Scrivici” selezionando all’interno del menu a tendina “Categoria” la voce “Polizia Postale”.

Se invece il caso è più grave e avete condotto i cybercriminali direttamente ai vostri dati personali completando l’attacco phishing allora per prima cosa dovrete necessariamente contattare l’ente ufficiale coinvolto (se per esempio avete inserito i dati della vostra PostePay dovrete contattare Poste Italiane) e cambiare password, oltre a sporgere denuncia ufficiale.

Argomenti

# Virus
# Gmail

Iscriviti a Money.it