Il phishing è un genere di truffa telematica che ha l'obiettivo di rubare le informazioni e i dati personali degli utenti: una guida, passo dopo passo, per evitare di cascarci.
Possiamo definire il phishing come una forma di adescamento: il malintenzionato inganna psicologicamente l’utente, sfruttando le sue paure, e gli sottrae informazioni preziose, come le credenziali bancarie o i documenti d’identità che poi possono essere utilizzati per compiere una serie di azioni illegali, senza che l’interessato ne venga a conoscenza.
Che cos’è il phishing e in cosa consiste
Il metodo d’attacco preferito è l’email. Il mittente della email sembra un’organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c’è un problema relativo al nostro account, in genere legato alla sicurezza. Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dal cracker. Difficile accorgersi della differenza, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta. Così l’utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Non solo, una volta entrati sul sito fasullo, è possibile che il nostro dispositivo venga infettato da virus, come trojan horse e malware.
Ma oggi non c’è solo l’email a disposizione di questo tipo di attacchi, anzi il phishing sta sempre di più assumendo una dimensione social. La tattica è identica: il truffatore crea la copia della pagina di un social network (ad esempio una falsa pagina Facebook) e cerca di attirare le ignare vittime, costringendole a condividere i propri dati personali – come nome, password, numero di carta di credito, codice PIN e altro ancora – nel corso del processo.
Come difendersi dal phishing
La regola principale per difendersi, da adottare come un mantra, è solo una: nessuno può tutelare le nostre informazioni meglio di noi stessi. Per questo è necessario gestire dati con cura e diffonderli il meno possibile, nonché essere pronti ad affrontare eventuali emergenze.
Di solito le email, o i messaggi, di phishing hanno un tono allarmistico. Un classico esempio è
Se non rispondi, il tuo account verrà chiuso in 48 ore.
E, nel caso della posta elettronica, vengono inviati in blocco: per cui nella barra riservata ai destinatari non compare alcun indirizzo email.
Ecco una breve guida, passo dopo passo, per non cadere nella trappola del phishing:
Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser.
Bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso.
Usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, senza una password di protezione. Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico. Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i male intenzionati possono reindirizzarci, senza essere visti, a pagine di phishing.
Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo.
Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.
Che cosa fare dopo un attacco phishing e come sporgere denuncia alla Polizia Postale
Hanno tentato di raggirarci, ma per fortuna non ci sono riusciti. Possiamo segnalare l’attacco e aiutare gli altri a non cadere nella stessa trappola. Tutto direttamente sul sito del commissariato di Polizia di Stato online: una sorta di ufficio gestito dalla Polizia Postale e delle Comunicazioni, attraverso il quale è possibile inviare informazioni sui reati informatici di cui veniamo a conoscenza.
Ci siamo cascati: abbiamo inserito i nostri dati su un sito fake, o i criminali sono riusciti ad estorcerci la copia digitale di un nostro documento d’identità. Nel primo caso, va contattato l’amministratore del portale originale per avvertirlo di quanto accaduto, cambiare la password, e poi sporgere denuncia. Nel secondo, dobbiamo necessariamente denunciare.
Anche in questo caso abbiamo l’opportunità di fare tutto comodamente seduti sul divano di casa, grazie al sito della Polizia Postale. All’interno dell’homepage dedicata alle segnalazioni, troviamo diversi riquadri da compilare. Una volta effettuata la denuncia, la Pubblica Sicurezza aprirà un regolare fascicolo che verrà trasmesso alla Procura della Repubblica per ottenere le necessarie autorizzazioni a procedere.
