Phishing

Sul web e in televisione si parla spesso di “phishing”, una truffa online in cui hacker e malintenzionati (i cosiddetti “phisher”) cercano di ottenere dati di accesso, password e informazioni personali. Ma di cosa si tratta di preciso?

Il termine “phishing” significa letteralmente “pescare”: gli hacker, infatti, tentano solitamente di contattare il maggior numero di utenti possibile senza alcuna distinzione, aumentando le possibilità di trarre una persona in inganno e di ottenere le sue informazioni personali. In casi più rari, invece, gli attacchi informatici potrebbero essere personalizzati e mirati a specifici utenti o aziende (una modalità che prende il nome di spear phishing).

Il phishing può essere attuato su canali diversi, tuttavia i metodi preferiti dai malintenzionati sono email e SMS che sembrano inviati da un mittente legittimo e ufficiale

Un attacco di phishing o spear phishing ha solitamente l’obiettivo di rubare i dati di accesso o personali degli utenti, di appropriarsi dei loro profili utente bancari e aziendali. Questo può avere varie conseguenze negative:

• Dati personali: se un phisher individua informazioni sensibili quali password, numeri di carte di credito e dettagli personali, potrebbe commettere un vero e proprio furto di identità, oltre a frodi finanziarie e altri utilizzi illeciti delle informazioni rubate.
• Privacy: i dati personali raccolti tramite attacchi di phishing possono essere utilizzati per violare la privacy dell’utente coinvolto, con ripercussioni negative sulla vita personale e professionale.
• Perdite finanziarie: come intuibile, gli attacchi di phishing hanno spesso un obiettivo puramente economico. Quando gli hacker ottengono accesso ai conti bancari o alle informazioni sulla carta di credito, solitamente prelevano o spendono nel più breve tempo possibile tutti i fondi disponibili sul conto.
• Sicurezza aziendale: se un attacco di phishing è diretto a un'organizzazione (come nel caso dello spear phishing), potrebbe seriamente compromettere la sicurezza aziendale, con conseguenti perdite di dati sensibili, interruzioni dei servizi e danni significativi alle operazioni.
• Diffusione di malware e ransomware: alcuni messaggi di phishing includono link o allegati che, se cliccati, installano automaticamente virus specifici sui dispositivi delle vittime (come ad esempio i ransomware, che bloccano i file personali chiedendo il pagamento di un riscatto).

Per riuscire a difendersi dal phishing, è fondamentale avere ben chiare le varie modalità utilizzate dagli hacker per rubare i dati degli utenti, in modo da riconoscere immediatamente eventuali tentativi simili.

In generale, i phisher utilizzano SMS, email, siti web e social network, ma non solo. Le modalità più comuni sono riassunte nella seguente tabella:

Le tecniche appena illustrate possono essere usate in modo generico, senza prendere di mira utenti specifici, oppure personalizzando le comunicazioni per tentare di raggiungere determinate persone o aziende. In questo secondo caso si parla di spear phishing.

Ma come avviene, nella pratica, un attacco di phishing? Naturalmente, le modalità possono variare in base al canale utilizzato, ma in generale è possibile individuare alcune tecniche comuni, in particolar modo per quanto riguarda l’email phishing.

1. Raccolta di informazioni: in una prima fase, gli hacker cercano di ottenere i recapiti degli utenti da contattare, solitamente attraverso social network o fughe di dati da altre piattaforme.
2. Elaborazione di un piano: una volta raccolte le informazioni degli utenti viene sviluppato un piano dettagliato, scegliendo il messaggio, la modalità di invio e l’obiettivo da raggiungere.
3. Invio dei messaggi: a questo punto, vengono creati i veri e propri messaggi di phishing, che sembrano provenire da fonti attendibili per indurre le vittime a intraprendere azioni dannose, e vengono poi inviati attraverso il canale selezionato.
4. Raccolta delle informazioni: alcune vittime, ingannate dalla credibilità apparente dei messaggi, forniscono informazioni sensibili come password, dati finanziari o dettagli personali.
5. Utilizzo delle informazioni rubate: alla fine, i phisher utilizzano le informazioni rubate per compiere atti dannosi, ad esempio accedendo a profili personali, commettendo frodi finanziarie o vendendo le informazioni sul mercato nero.

Per proteggere le proprie informazioni personali e finanziarie, è essenziale riuscire a riconoscere un tentativo di phishing, identificando precocemente i possibili segnali d’allarme e attivandosi in modo proattivo.

In generale, alcune delle caratteristiche tipiche di un attacco di phishing includono:

• Indirizzo email sospetto: l’indirizzo email di un phisher potrebbe contenere errori ortografici o grammaticali. È dunque necessario verificare attentamente l'autenticità dell'indirizzo.
• Messaggi con richieste urgenti: i messaggi di phishing spesso contengono richieste urgenti, per indurre la vittima ad agire rapidamente. Un messaggio che fa leva sulla paura o l'urgenza è spesso indicatore di un tentativo di truffa.
• Link dubbiosi: prima di aprire eventuali link è fondamentale visualizzare l’indirizzo del sito web a cui rimanda. Per farlo puoi posizionare il cursore del mouse sopra il link o copiare e incollare il link negli appunti. Se appare sospetto, evita di cliccarlo.
• Messaggi non personalizzati: gli attacchi di phishing di massa di solito non includono informazioni specifiche. Se il messaggio sembra generico e non contiene dettagli personali (ad esempio non usa il tuo nome o utilizza un genere grammaticale sbagliato), potrebbe trattarsi di un tentativo di phishing.
• Richiesta di informazioni sensibili: solitamente, banche e istituzioni evitano di chiedere informazioni private tramite email. Se ricevi messaggi che richiedono password, numeri di carte di credito o altri dettagli, chiedi conferma alla tua banca.
• Errori di ortografia e grammatica: molti attacchi di phishing contengono messaggi con errori ortografici o linguistici, trattandosi spesso di traduzioni automatiche. Solitamente, un messaggio mal scritto non è affidabile.

Comprese nel dettaglio le tipologie e le varie modalità di phishing, analizziamo ora alcuni possibili scenari reali e situazioni comuni. In questo modo, sarà più facile per te riconoscere futuri tentativi di truffe online.

Il phishing è estremamente diffuso: nel 2023, il numero di aziende vittima di tentativi di truffa via email è aumentato dell’85% rispetto allo stesso periodo del 2022. Il fenomeno, quindi, colpisce privati e aziende in modo indiscriminato, e qualsiasi tipologia di utente ne è a rischio. È fondamentale sapersi difendere, riconoscendo eventuali tentativi di truffa e prendendo le dovute precauzioni.

Per difenderti dal phishing abbiamo raccolto in questo paragrafo alcuni consigli:

• Non fidarti: mantieni uno spirito critico e valuta con attenzione eventuali email, messaggi o chiamate inaspettate. Verifica sempre l'autenticità del mittente prima di agire.
• Non cliccare su link sospetti: evita di aprire immediatamente eventuali link contenuti in email o messaggi sospetti. Prima di decidere se cliccare o meno, puoi passare il cursore del mouse sopra il link per visualizzare l’indirizzo del sito web a cui rimanda.
• Utilizza l'autenticazione a due fattori: quando possibile, abilita l'autenticazione a due fattori per i tuoi accessi online. Questa modalità rende i tuoi profili più sicuri perché aggiunge un livello di sicurezza in più oltre all’inserimento della password.
• Usa filtri antiphishing: alcuni fornitori di servizi di posta elettronica consentono di impostare filtri antiphishing sul tuo indirizzo email. In alternativa, puoi utilizzare software di sicurezza appositi per proteggere il tuo dispositivo da potenziali minacce.
• Proteggi le tue informazioni personali: per evitare di fornire ulteriore materiale ai phisher, riduci al minimo i dati personali condivisi online, e proteggi le tue credenziali con la massima cura.

Se ritieni di aver subito un attacco di phishing mirato alla tua banca online, è fondamentale agire rapidamente per proteggere il tuo conto e le tue informazioni finanziarie. La prima cosa da fare, naturalmente, è cambiare le credenziali e disabilitare eventuali carte di credito o di debito.

In generale, è una buona idea contattare il servizio clienti della tua banca per segnalare il tentativo di phishing, spiegando nel dettaglio la situazione, incluso il contenuto del messaggio o dell'email ricevuta, i link utilizzati dai phisher e qualsiasi altra informazione che potresti aver fornito accidentalmente.

Se lo ritieni opportuno, puoi chiedere alla banca di attivare monitoraggi aggiuntivi sul tuo conto per rilevare eventuali attività sospette, così da individuare immediatamente attività sospette o utilizzi impropri del tuo conto bancario.

Infine, ti consigliamo di revocare l'accesso ad applicazioni o servizi che potrebbero essere stati autorizzati tramite le credenziali rubate, e di cambiare le password anche di questi programmi. Nel caso in cui tu abbia fornito informazioni sensibili, considera di segnalare l'incidente alle autorità locali, in particolar modo alla Polizia Postale.