Cosa è il phishing?

Cerchiamo di capire cosa è il phishing.

Sarà capitato, almeno una volta ad ognuno, di ricevere e-mail o un SMS decisamente sospetti, che però hanno come mittente ‘’la tua banca’’, “la posta” o qualche altro ente molto conosciuto.

Il Phishing è una truffa che viene effettuata tramite l’invio massivo di messaggi ad un alto numero di mittenti, con la speranza, e quasi la certezza, che qualcuno abbocchi! Purtroppo i pesci non mancano mai.

Il Phisher, malintenzionato, cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. La metodologia di attacco di questi truffatori è abbastanza standardizzata e può essere riassunta in 5 fasi:

• Egli spedisce ad un utente un messaggio e-mail che imita alla perfezione (anche se in certi casi le traduzioni errate dall’inglese all’italiano sono palesi), in grafica e contenuto, quello di un’istituzione nota al destinatario ad esempio: la sua banca, il suo provider web, etc.

• Il messaggio contiene, quasi sempre, avvisi di particolari situazioni o di problemi, che si sono venuti a creare con il proprio conto corrente/account (ad esempio un addebito di grande portata, che un minimo timore lo incuterebbe a chiunque), o magari la scadenza dell’account.

• l’e-mail lo invita a cliccare un link, segnato nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società dal quale il messaggio è arrivato.

• tale link, però, NON reindirizzerà il mal capitato al sito web ufficiale, ma a una sua copia fittizia molto simile a quella ufficiale, situata su un server controllato direttamente dal phisher truffatore, con l’obiettivo malevolo di riuscire ad avere specifici dati personali, attraverso, per esempio, conferma o autenticazione al sistema; così che il phisher possa memorizzare tutto.

• a questo punto, il gioco è fatto! Il truffatore utilizza i dati per effettuare le azioni più spiacevoli, come ad esempio, l’acquisto di beni, oppure l’esportazione di grosse somme di denaro.

Un modo per sfuggirvi c’è eccome. Basta stare attenti e cauti. Ecco allora qualche dritta per evitare che ciò accada!

1. Verificare l’AUTENTICITÀ DEL SITO
2. INSERIRE LA PASSWORD SBAGLIATA al primo tentativo; in modo tale che se il sito la riconosce come ERRATA, allora il sito è autentico e possiamo digitare la seconda volta la password giusta.
3. Leggere con attenzione l’oggetto, se si tratta di una mail, se sembra sospetto, sgrammaticato, o contiene più punteggiatura del dovuto allora al 90% si tratta di una truffa
4. Se la mail ricevuta è una richiesta di autenticazione, magari dalla banca, inoltrate il suddetto alle autorità competenti e alla vostra banca, così da poterne verificare l’autenticità effettiva.
5. Nel caso dell’utilizzo della carta di credito o del Bancomat, è possibile richiedere un servizio SMS che avverta, in tempo quasi reale, il momento in cui vengo effettuati pagamenti attraverso quel conto corrente, ovviamente con le rispettive modalità di contratto pattuite con l’ente e il gestore telefonico.
6. Alcuni browser hanno una barra antiphishing specifica che controlla l’autenticità di ogni pagina scaricata dal sito. Decisamente utile.
7. Esistono anche programmi specifici, come la barra anti-spillaggio di Netcraft e le blacklist,  che consentono di avvisare l’utente quando visita un sito probabilmente non autentico, evitando così che ci si trovi di fronte situazioni spiacevoli. È altrettanto utile impostare il filtro anti-spam, inserendo l’indirizzo dell’istituto di credito. In questo modo le e-mail contenenti un indirizzo del mittente o un link nel testo alla banca, saranno inserite nella cartella dello spam, rendendo più facilmente identificabili quelle non autentiche. Ed infine anche Mozilla Firefox offre un servizio per verificare i siti, basandosi sulle blacklist citate prima.

Credo non sia necessario aggiungere altro. Come sempre, prevenire è meglio che curare. Evitate di dare ogni cosa per buona, la truffa potrebbe essere dietro un semplice link. Diffidate da tutto ciò che vi appare strano e verificate la veridicità di ogni cosa prima di inserire i vostri dati, sono sensibili e potrebbero risentirne!