Phishing: cos'è e come difendersi dalle email che rubano dati - Cyberpedia
deepfake - video falsi
Deepfake: quando i video vengono contraffatti con l’intelligenza artificiale
24 Aprile 2020
honey trap - trappola di miele
Honey trap: trappole di miele per traditori
29 Aprile 2020

Phishing: cos’è e come difendersi

phishing

Cos’è il phishing?

Il phishing è una truffa attraverso la quale un malintenzionato convince la vittima a fornire informazioni personali fingendosi un’ente affidabile. Queste informazioni possono includere dati, codici di accesso ai propri account, numeri delle carte di credito e chi più ne ha, più ne metta.

Il phishing può essere portato a termine in diversi modi. La via più comune è l’email, che grazie ai sistemi di automazione può essere spammata a liste immense di contatti. Le mail contengono un link attraverso il quale si giunge su una finta pagina attendibile (della propria banca, delle Poste o di un social network) dove vanno inserite le proprie informazioni. Altri canali che possono veicolare le truffe sono gli SMS e i servizi di messaggistica come Whatsapp.

Le truffe via Whatsapp stanno anzi notevolmente aumentando negli ultimi anni. Anche i social network, come Facebook e Instagram, stanno diventando canali di phishing sempre più popolari: sia tramite pagine di login false, in cui la malcapitata vittima inserisce le sue credenziali, sia tramite l’uso di account falsi delle Pubbliche Amministrazioni o di altri servizi attendibili, che spacciandosi per servizi clienti, riescono a farsi comunicare tramite Facebook Messenger i più svariati dati.

Su quali leve agisce?

Il phishing è studiato per colpire un gran numero di persone contemporaneamente: l’hacker non ha quindi modo di studiare dettagliatamente la sua vittima, di cui spesso non conosce assolutamente nulla.

Questo vuol dire che i messaggi non saranno studiati per essere “cuciti addosso” alla vittima, bensì si avvaleranno di leve motivazionali comuni e applicabili a un vasto numero di persone: chi non vorrebbe un premio sostanzioso o non è impaurito all’idea di un contenzioso legale?

Tutti gli stratagemmi usati mirano a creare nel soggetto un senso di urgenza, così da ridurre la lucidità nel ragionamento. Sulla spinta della speranza, dell’euforia o della paura, le persone compiranno azioni senza riflettere attentamente e così, cadranno nella trappola.

Più nel dettaglio, le leve usate dagli hacker per ottenere le informazioni sono:

  • L’Autorità: gli hacker si fingono enti rispettabili e affidabili per tranquillizzare le vittime e convincerle a fornire denaro e dati. A volte possono rendersi ancora più credibili sfruttando i database di enti precedentemente attaccati, in modo tale da rivolgersi solo ai clienti di quell’ente.
  • La Paura: molto spesso questa leva si unisce all’autorità. Si accusa la vittima di aver compiuto operazioni illecite e di dover quindi inserire i propri dati per regolarizzare la sua posizione. Un altro modo per solleticare la leva della paura è prospettare nella vittima la perdita di un’ingente quantità di denaro, a causa di una multa oppure sotto forma di un passaggio di una somma non chiara.
  • L’Urgenza: in questo caso i nostri hacker puntano sul fattore tempo per farci cadere nella trappola. Ad esempio, possono fingersi fornitori dell’energia elettrica e dirci che il contratto è in scadenza. Possono anche informarci che abbiamo vinto un premio da riscattare nel corso della prossima mezz’ora o ora.
  • Il Conformismo: sapere che tante persone hanno fatto qualcosa e si sono trovati bene ci aiuta a prendere una decisione che, con un buon margine di certezza, sarà giusta. Purtroppo, questo meccanismo estremamente utile nella vita quotidiana ci rende anche estremamente vulnerabili. Spesso gli hacker usano formule come più di mille persone sono diventate ricche seguendo i miei consigli; l’intento è spingere la persona a inserire i propri dati finanziari convinta di ricevere trucchi, pepite d’oro, mirabolanti sistemi di conversione di denaro…e invece riceve solo una scottante fregatura, trovando il conto svuotato.
  • Trucchi grafici:  attribuiamo a brand e istituzioni determinati colori e caratteri grafici: questo ci permette di riconoscerli con un colpo d’occhio. Gli hacker sfruttano questo fatto creando pagine molto simili a quelle che ben conosciamo, ma con leggere variazioni nell’indirizzo o poste su un dominio diverso: l’utente, la cui obiettività è già diminuita per effetto delle leve psicologiche già citate, riconosce a colpo d’occhio il codice colore del sito ben conosciuto e inserisce i propri dati senza controllare con attenzione le componenti testuali.

Riconoscere e prevenire un attacco

Come abbiamo già detto, chiunque può essere una potenziale vittima. In base alle abilità dell’hacker può essere più o meno difficile scoprire la truffa: ci sono però alcune regole che possono salvarci nella maggioranza dei casi.

Partiamo dalle basi: procuriamoci un filtro antispam. Spesso i provider di Email già hanno i filtri antispam: controlliamo che siano attivi. Questi filtri dirottano le email sospette in una cartella a parte. Alcuni dei criteri su cui si basano sono, per esempio, la correttezza grammaticale del testo, l’indice di affidabilità del mittente, il numero di email spedite. Nota bene: è sempre meglio qualche volta andare a controllare. Sebbene gli algoritmi siano molto precisi, è possibile che finisca in spam qualche mail in realtà importante. 

Quando riceviamo una mail contenente un link, che ci annuncia una vincita o una perdita di denaro o la scadenza di un contratto, controlliamola con attenzione. Abbiamo elaborato un caso studio realmente successo che spiega nel dettaglio cosa controllare in una mail: senza scendere nei dettagli, bisogna:

  • Controllare la grammatica;
  • Valutare che il mittente sia affidabile;
  • Controllare (passandoci sopra con il mouse) che i link portino a siti verificati;
  • Controllare i destinatari; spesso oltre a noi ci sono moltissimi altri sfortunati a cui è stata mandata la stessa email!

Teniamo inoltre presente che nessuna Istituzione e organizzazione ci scriverà allegando alla mail un link in cui inserire i nostri dati, proprio per evitare le ambiguità.

E se l’attacco è stato compiuto?

Purtroppo ci accorgeremo che l’attacco è andato a buon fine solo quando controlleremo il conto e lo troveremo in rosso; è buona abitudine controllare spesso il nostro estratto conto. Teniamo anche a mente i servizi (Paypal, Amazon…) che possono disporre di un saldo proprio e controlliamoli spesso.
Inoltre, se ci accorgiamo di essere stati vittime di Phishing cambiamo le password e blocchiamo i conti correnti; sporgiamo anche denuncia alla Polizia Postale. 
Insomma, il Phishing è uno di quei classici casi in cui è più facile prevenire che curare!

Dott.ssa Giulia Berta
Latest posts by Dott.ssa Giulia Berta (see all)

banner cybertest

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *