L’assonanza fonetica la dice già lunga: è sufficiente pronunciare il termine phishing perché si concretizzi l’immagine mentale della pesca, con tanto di canna e amo. Peccato però che in questo caso nulla ha a che fare con la pesca intesa in maniera tradizionale.
Ciò di cui stiamo parlando è invece la «pesca di dati personali», un’attività illecita – e purtroppo sempre più diffusa sul web – utilizzata da hacker e malfattori per appropriarsi di informazioni riservate relative a una persona, a un ente o a un’azienda.
Ci si può difendere dagli attacchi di cyber-crime come questo? La risposta è sì: servono una maggiore consapevolezza del fenomeno e dei rischi cui si va incontro, oltre a qualche piccola astuzia per riconoscere anche gli attacchi più subdoli.
Sommario:
Attacchi di Phishing: una minaccia del web da cui ci si può difendere
Phishing: conoscere le tecniche d’attacco per sapersi difendere
5 azioni anti-phishing per proteggere i propri dati personali
Phishing: conoscere le tecniche d’attacco per sapersi difendere
Il phishing è una vera e propria truffa, anche se avviene per via telematica: è una delle minacce informatiche più diffuse e allo stesso tempo una di quelle in cui continuiamo a cascare troppo spesso.
Per realizzare un tentativo di phishing, i «ladri di identità» ricorrono a strumenti tipici del web. L’e-mail è probabilmente quello più utilizzato, sebbene non manchino sms, social media e chat. Il modus operandi è tendenzialmente sempre lo stesso: il truffatore si presenta come un soggetto autorevole, tipo la banca, la posta, il gestore di carte di credito o ancora un funzionario di un ente pubblico.
Informa il malcapitato sulla presenza di un problema relativo al proprio account e invita a fornire i dati personali per:
- aggiornare la scadenza di una password
- risolvere particolari problemi tecnici con il conto bancario o con la carta di credito
- accettare cambiamenti contrattuali o offerte promozionali
- risolvere potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su specifici conti online tipo PayPal, MoneyGram o Western Union
- completare la mancata, incompleta o errata presenza di informazioni che possono riguardare Poste Italiane o gli account di Google, Facebook o Twitter
- gestire la pratica per un rimborso fiscale o una cartella esattoriale
- cliccare su un link che rimanda a una pagina web dove è presente un form da compilare
- informare sulla presenza di offerte di lavoro particolarmente allettanti, che invitano a inserire le coordinate bancarie per far sì di essere tra i primi a beneficiarne
Quelle appena elencate sono le “scuse” più comuni con cui un attacco di phishing si realizza. E sono anche le scuse che ogni giorno mietono sul web tante vittime, grazie a messaggi suadenti sempre più perfezionati, avvincenti e soprattutto convincenti.
Ci si potrebbe dunque chiedere: perché tanto interesse nel rubare le informazioni personali di qualcuno? Perché quando i dati personali riguardano codici di accesso e pin, è facile intuire il loro utilizzo:
- acquisti a spese della vittima
- prelievi di denaro dal conto corrente
- attività illecite che utilizzano il nome e le credenziali del malcapitato come copertura
5 azioni anti-phishing per proteggere i propri dati personali
Il monito arriva direttamente dal Garante della Privacy che, per sensibilizzare l’opinione pubblica sul tema del phishing, ha diffuso l’infografica IL PHISHING: Attenzione ai «pescatori» di dati personali.
Ma quali altre strategie di protezione si possono mettere in atto contro cyber-attacchi di questo tipo? Di seguito ve ne proponiamo cinque:
- Non aprire gli allegati del messaggio, a meno di essere certi sull’identità del mittente e quindi della “qualità” dell’allegato. Gli allegati possono infatti contenere virus o installare sul computer, direttamente alla loro apertura, programmi che ne compromettono la sicurezza. È meglio dunque fare una verifica in più, a maggior ragione nel caso di messaggi ricevuti nella cartella Spam o Posta Indesiderata.
- Verificare l’URL della pagina che richiede l’inserimento dei dati personali.
- Installare sul computer un antivirus, fondamentale per proteggere anche da tentativi di phishing. Quasi tutti gli antivirus includono oggi una funzione anti-phishing che avvisa del pericolo ogni volta che un collegamento non sicuro viene cliccato.
- Non cliccare su alcun link presente nel messaggio, soprattutto in caso di e-mail che sembrano provenire dalla banca o dal proprio provider di posta e che chiedono di inserire dati privati, come login e password o numero della carta di credito. È importante ricordarsi che gli istituti bancari o postali non chiedono mai l’aggiornamento dei propri dati personali tramite comunicazioni inviate via e-mail.
- Utilizzare password affidabili, composte di almeno 12 caratteri, inclusi quelli speciali. E soprattutto ricordarsi non solo di cambiarle spesso, ma anche di non utilizzare la stessa identica password per più siti contemporaneamente.