Il phishing è una truffa attraverso la quale un malintenzionato convince la vittima a fornire informazioni personali fingendosi un’ente affidabile. Queste informazioni possono includere dati, codici di accesso ai propri account, numeri delle carte di credito e chi più ne ha, più ne metta.
Il phishing può essere portato a termine in diversi modi. La via più comune è l’email, che grazie ai sistemi di automazione può essere spammata a liste immense di contatti. Le mail contengono un link attraverso il quale si giunge su una finta pagina attendibile (della propria banca, delle Poste o di un social network) dove vanno inserite le proprie informazioni. Altri canali che possono veicolare le truffe sono gli SMS e i servizi di messaggistica come Whatsapp.
Le truffe via Whatsapp stanno anzi notevolmente aumentando negli ultimi anni. Anche i social network, come Facebook e Instagram, stanno diventando canali di phishing sempre più popolari: sia tramite pagine di login false, in cui la malcapitata vittima inserisce le sue credenziali, sia tramite l’uso di account falsi delle Pubbliche Amministrazioni o di altri servizi attendibili, che spacciandosi per servizi clienti, riescono a farsi comunicare tramite Facebook Messenger i più svariati dati.
Il phishing è studiato per colpire un gran numero di persone contemporaneamente: l’hacker non ha quindi modo di studiare dettagliatamente la sua vittima, di cui spesso non conosce assolutamente nulla.
Questo vuol dire che i messaggi non saranno studiati per essere “cuciti addosso” alla vittima, bensì si avvaleranno di leve motivazionali comuni e applicabili a un vasto numero di persone: chi non vorrebbe un premio sostanzioso o non è impaurito all’idea di un contenzioso legale?
Tutti gli stratagemmi usati mirano a creare nel soggetto un senso di urgenza, così da ridurre la lucidità nel ragionamento. Sulla spinta della speranza, dell’euforia o della paura, le persone compiranno azioni senza riflettere attentamente e così, cadranno nella trappola.
Più nel dettaglio, le leve usate dagli hacker per ottenere le informazioni sono:
Come abbiamo già detto, chiunque può essere una potenziale vittima. In base alle abilità dell’hacker può essere più o meno difficile scoprire la truffa: ci sono però alcune regole che possono salvarci nella maggioranza dei casi.
Partiamo dalle basi: procuriamoci un filtro antispam. Spesso i provider di Email già hanno i filtri antispam: controlliamo che siano attivi. Questi filtri dirottano le email sospette in una cartella a parte. Alcuni dei criteri su cui si basano sono, per esempio, la correttezza grammaticale del testo, l’indice di affidabilità del mittente, il numero di email spedite. Nota bene: è sempre meglio qualche volta andare a controllare. Sebbene gli algoritmi siano molto precisi, è possibile che finisca in spam qualche mail in realtà importante.
Quando riceviamo una mail contenente un link, che ci annuncia una vincita o una perdita di denaro o la scadenza di un contratto, controlliamola con attenzione. Abbiamo elaborato un caso studio realmente successo che spiega nel dettaglio cosa controllare in una mail: senza scendere nei dettagli, bisogna:
Teniamo inoltre presente che nessuna Istituzione e organizzazione ci scriverà allegando alla mail un link in cui inserire i nostri dati, proprio per evitare le ambiguità.
Purtroppo ci accorgeremo che l’attacco è andato a buon fine solo quando controlleremo il conto e lo troveremo in rosso; è buona abitudine controllare spesso il nostro estratto conto. Teniamo anche a mente i servizi (Paypal, Amazon…) che possono disporre di un saldo proprio e controlliamoli spesso.
Inoltre, se ci accorgiamo di essere stati vittime di Phishing cambiamo le password e blocchiamo i conti correnti; sporgiamo anche denuncia alla Polizia Postale.
Insomma, il Phishing è uno di quei classici casi in cui è più facile prevenire che curare!