L’assonanza fonetica la dice già lunga: è sufficiente pronunciare il termine phishing perché si concretizzi l’immagine mentale della pesca, con tanto di canna e amo. Peccato però che in questo caso nulla ha a che fare con la pesca intesa in maniera tradizionale.

Ciò di cui stiamo parlando è invece la «pesca di dati personali», un’attività illecita – e purtroppo sempre più diffusa sul web – utilizzata da hacker e malfattori per appropriarsi di informazioni riservate relative a una persona, a un ente o a un’azienda.

Ci si può difendere dagli attacchi di cyber-crime come questo? La risposta è sì: servono una maggiore consapevolezza del fenomeno e dei rischi cui si va incontro, oltre a qualche piccola astuzia per riconoscere anche gli attacchi più subdoli.

 

Sommario:

Attacchi di Phishing: una minaccia del web da cui ci si può difendere

Phishing: conoscere le tecniche d’attacco per sapersi difendere

5 azioni anti-phishing per proteggere i propri dati personali

 

Phishing: conoscere le tecniche d’attacco per sapersi difendere

Il phishing è una vera e propria truffa, anche se avviene per via telematica: è una delle minacce informatiche più diffuse e allo stesso tempo una di quelle in cui continuiamo a cascare troppo spesso.

Per realizzare un tentativo di phishing, i «ladri di identità» ricorrono a strumenti tipici del web. L’e-mail è probabilmente quello più utilizzato, sebbene non manchino sms, social media e chat. Il modus operandi è tendenzialmente sempre lo stesso: il truffatore si presenta come un soggetto autorevole, tipo la banca, la posta, il gestore di carte di credito o ancora un funzionario di un ente pubblico.

Informa il malcapitato sulla presenza di un problema relativo al proprio account e invita a fornire i dati personali per:

  • aggiornare la scadenza di una password
  • risolvere particolari problemi tecnici con il conto bancario o con la carta di credito
  • accettare cambiamenti contrattuali o offerte promozionali
  • risolvere potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su specifici conti online tipo PayPal, MoneyGram o Western Union
  • completare la mancata, incompleta o errata presenza di informazioni che possono riguardare Poste Italiane o gli account di Google, Facebook o Twitter
  • gestire la pratica per un rimborso fiscale o una cartella esattoriale
  • cliccare su un link che rimanda a una pagina web dove è presente un form da compilare
  • informare sulla presenza di offerte di lavoro particolarmente allettanti, che invitano a inserire le coordinate bancarie per far sì di essere tra i primi a beneficiarne

Quelle appena elencate sono le “scuse” più comuni con cui un attacco di phishing si realizza. E sono anche le scuse che ogni giorno mietono sul web tante vittime, grazie a messaggi suadenti sempre più perfezionati, avvincenti e soprattutto convincenti.

Ci si potrebbe dunque chiedere: perché tanto interesse nel rubare le informazioni personali di qualcuno? Perché quando i dati personali riguardano codici di accesso e pin, è facile intuire il loro utilizzo:

  • acquisti a spese della vittima
  • prelievi di denaro dal conto corrente
  • attività illecite che utilizzano il nome e le credenziali del malcapitato come copertura

 

5 azioni anti-phishing per proteggere i propri dati personali

Il monito arriva direttamente dal Garante della Privacy che, per sensibilizzare l’opinione pubblica sul tema del phishing, ha diffuso l’infografica IL PHISHING: Attenzione ai «pescatori» di dati personali.

Ma quali altre strategie di protezione si possono mettere in atto contro cyber-attacchi di questo tipo? Di seguito ve ne proponiamo cinque:

  • Non aprire gli allegati del messaggio, a meno di essere certi sull’identità del mittente e quindi della “qualità” dell’allegato. Gli allegati possono infatti contenere virus o installare sul computer, direttamente alla loro apertura, programmi che ne compromettono la sicurezza. È meglio dunque fare una verifica in più, a maggior ragione nel caso di messaggi ricevuti nella cartella Spam o Posta Indesiderata.
  • Verificare l’URL della pagina che richiede l’inserimento dei dati personali.
  • Installare sul computer un antivirus, fondamentale per proteggere anche da tentativi di phishing. Quasi tutti gli antivirus includono oggi una funzione anti-phishing che avvisa del pericolo ogni volta che un collegamento non sicuro viene cliccato.
  • Non cliccare su alcun link presente nel messaggio, soprattutto in caso di e-mail che sembrano provenire dalla banca o dal proprio provider di posta e che chiedono di inserire dati privati, come login e password o numero della carta di credito. È importante ricordarsi che gli istituti bancari o postali non chiedono mai l’aggiornamento dei propri dati personali tramite comunicazioni inviate via e-mail.
  • Utilizzare password affidabili, composte di almeno 12 caratteri, inclusi quelli speciali. E soprattutto ricordarsi non solo di cambiarle spesso, ma anche di non utilizzare la stessa identica password per più siti contemporaneamente.