IBAN italiano, pagamenti, carte, contabilità & oltre 5.000 integrazioni in un'unica app.

4,7 su Capterra
Possedere un profilo utente online (personale, aziendale, o relativo al servizio di internet banking del proprio conto corrente) espone al rischio di phishing, un tentativo di truffa con l’obiettivo di rubare i dati personali degli utenti. In questa pagina ti spieghiamo nel dettaglio di cosa si tratta, come riconoscere i tentativi di phishing e come difenderti al meglio da qualsiasi minaccia.
IBAN italiano, pagamenti, carte, contabilità & oltre 5.000 integrazioni in un'unica app.
4,7 su Capterra
Sul web e in televisione si parla spesso di “phishing”, una truffa online in cui hacker e malintenzionati (i cosiddetti “phisher”) cercano di ottenere dati di accesso, password e informazioni personali. Ma di cosa si tratta di preciso?
Definizione di phishing
Il phishing è una modalità di truffa online in cui un hacker cerca di indurre la vittima a fornire volontariamente password, numeri di carte di credito o altre informazioni personali. Di solito avviene attraverso la creazione di siti web o messaggi che sembrano provenire da fonti legittime e affidabili, come banche, istituti finanziari o servizi online.
Il termine “phishing” significa letteralmente “pescare”: gli hacker, infatti, tentano solitamente di contattare il maggior numero di utenti possibile senza alcuna distinzione, aumentando le possibilità di trarre una persona in inganno e di ottenere le sue informazioni personali. In casi più rari, invece, gli attacchi informatici potrebbero essere personalizzati e mirati a specifici utenti o aziende (una modalità che prende il nome di spear phishing).
Il phishing può essere attuato su canali diversi, tuttavia i metodi preferiti dai malintenzionati sono email e SMS che sembrano inviati da un mittente legittimo e ufficiale
Un attacco di phishing o spear phishing ha solitamente l’obiettivo di rubare i dati di accesso o personali degli utenti, di appropriarsi dei loro profili utente bancari e aziendali. Questo può avere varie conseguenze negative:
Per riuscire a difendersi dal phishing, è fondamentale avere ben chiare le varie modalità utilizzate dagli hacker per rubare i dati degli utenti, in modo da riconoscere immediatamente eventuali tentativi simili.
In generale, i phisher utilizzano SMS, email, siti web e social network, ma non solo. Le modalità più comuni sono riassunte nella seguente tabella:
Tecnica di phishing | Descrizione |
---|---|
Email spoofing |
Un hacker falsifica l'indirizzo email del mittente, inviando un messaggio che sembra provenire da una fonte affidabile. |
Siti web contraffatti |
Si tratta di siti web che imitano l’aspetto delle pagine di istituzioni autorevoli, in cui viene chiesto agli utenti di inserire informazioni sensibili. Spesso il link del sito contraffatto viene condiviso tramite email spoofing. |
Smishing (phishing via SMS) |
L’hacker invia SMS ingannevoli, che sembrano provenire da istituzioni legittime, inducendo le vittime a fornire informazioni sensibili. |
Vishing (phishing vocale) |
La vittima riceve una telefonata in cui le viene richiesto di rivelare informazioni personali o finanziarie, spesso attraverso registrazioni vocali automatizzate. |
Email di phishing social |
Il phisher invia messaggi di truffa tramite le piattaforme di social media, mascherandoli da comunicazioni da parte di amici o contatti fidati. L’obiettivo è rubare i dati di accesso ai profili online. |
Le tecniche appena illustrate possono essere usate in modo generico, senza prendere di mira utenti specifici, oppure personalizzando le comunicazioni per tentare di raggiungere determinate persone o aziende. In questo secondo caso si parla di spear phishing.
Cosa si intende per spear phishing?
Lo "spear phishing" è una modalità mirata di phishing. Nello specifico, si tratta di un attacco informatico in cui un hacker cerca di ingannare una persona o azienda specifica chiedendo loro di rivelare informazioni sensibili come nomi utente, password o dettagli finanziari.
Ma come avviene, nella pratica, un attacco di phishing? Naturalmente, le modalità possono variare in base al canale utilizzato, ma in generale è possibile individuare alcune tecniche comuni, in particolar modo per quanto riguarda l’email phishing.
Per proteggere le proprie informazioni personali e finanziarie, è essenziale riuscire a riconoscere un tentativo di phishing, identificando precocemente i possibili segnali d’allarme e attivandosi in modo proattivo.
In generale, alcune delle caratteristiche tipiche di un attacco di phishing includono:
Comprese nel dettaglio le tipologie e le varie modalità di phishing, analizziamo ora alcuni possibili scenari reali e situazioni comuni. In questo modo, sarà più facile per te riconoscere futuri tentativi di truffe online.
Esempio di phishing | Descrizione |
---|---|
Email bancaria falsa |
L’utente riceve un'email che sembra provenire dalla propria banca, con un messaggio che indica una possibile attività sospetta sul suo conto. L’obiettivo è far sì che l’utente verifichi i suoi dati cliccando su un link che in realtà porta a un sito web contraffatto. Qui, il phisher tenta di raccogliere le credenziali bancarie |
Messaggio di phishing via SMS |
L’utente riceve un SMS proveniente da un noto servizio di consegna (in realtà creato appositamente dai phisher) che informa dell’arrivo di un pacco. Il messaggio contiene un link per tracciare la consegna, ma cliccando sul link si installa un malware (o ransomware) sul proprio dispositivo. |
Email di phishing sulle credenziali Google |
Un’email, che sembra provenire da Google, avverte l’utente che i suoi accessi online sono stati compromessi. Per recuperarlo è necessario cambiare immediatamente la password cliccando su un link che in realtà porta a una pagina web contraffatta. Qui, il phisher tenta di rubare le credenziali di accesso. |
Avviso di sicurezza falso da Microsoft |
L’utente riceve una finta email di Microsoft che avvisa di una possibile violazione della sicurezza. Per risolvere il problema, è necessario verificare i dati personali cliccando su un link che in realtà porta a una pagina di phishing, dove il phisher cerca di raccogliere le credenziali Microsoft dell’utente. |
Il phishing è estremamente diffuso: nel 2023, il numero di aziende vittima di tentativi di truffa via email è aumentato dell’85% rispetto allo stesso periodo del 2022. Il fenomeno, quindi, colpisce privati e aziende in modo indiscriminato, e qualsiasi tipologia di utente ne è a rischio. È fondamentale sapersi difendere, riconoscendo eventuali tentativi di truffa e prendendo le dovute precauzioni.
Se cerchi un modo per tutelare i tuoi dipendenti dal phishing e da possibili furti di dati bancari, scopri le carte Instant di Qonto, un metodo di pagamento virtuale usa e getta. La soluzione ideale per fare acquisti in tutta sicurezza sia in negozio che online.
Per difenderti dal phishing abbiamo raccolto in questo paragrafo alcuni consigli:
Se ritieni di aver subito un attacco di phishing mirato alla tua banca online, è fondamentale agire rapidamente per proteggere il tuo conto e le tue informazioni finanziarie. La prima cosa da fare, naturalmente, è cambiare le credenziali e disabilitare eventuali carte di credito o di debito.
In generale, è una buona idea contattare il servizio clienti della tua banca per segnalare il tentativo di phishing, spiegando nel dettaglio la situazione, incluso il contenuto del messaggio o dell'email ricevuta, i link utilizzati dai phisher e qualsiasi altra informazione che potresti aver fornito accidentalmente.
Se lo ritieni opportuno, puoi chiedere alla banca di attivare monitoraggi aggiuntivi sul tuo conto per rilevare eventuali attività sospette, così da individuare immediatamente attività sospette o utilizzi impropri del tuo conto bancario.
Infine, ti consigliamo di revocare l'accesso ad applicazioni o servizi che potrebbero essere stati autorizzati tramite le credenziali rubate, e di cambiare le password anche di questi programmi. Nel caso in cui tu abbia fornito informazioni sensibili, considera di segnalare l'incidente alle autorità locali, in particolar modo alla Polizia Postale.
Conto business sicuro
Se cerchi un conto con la massima sicurezza, scopri il conto business di Qonto: oltre all’autenticazione a due fattori per verificare ogni accesso, potrai cambiare password in ogni momento e contattare il centro assistenza in lingua italiana 7 giorni su 7 in caso di problemi.