Immaginate di controllare la vostra casella di posta e di trovare un’email che sembra provenire dalla vostra banca, da un portale e-commerce molto conosciuto o ancora peggio dell’Agenzia delle Entrate, in cui vi si chiede di inserire le vostre credenziali o di accedere a una pagina per verificare i vostri dati magari a seguito di un accertamento fiscale. Presi alla sprovvista e magari preoccupati di vedervi consegnare una cartella esattoriale, seguite le istruzioni e fornite tutti i dati richiesti. Pensate che la situazione sia sotto controllo e, certi di aver prevenuto l’insorgere di un problema, archiviate la questione fino a quando – magari qualche giorno dopo – vedete uno strano addebito sul vostro conto corrente.
Questo è il tipico esempio di un attacco di phishing, una truffa informatica ai danni di un utente con l’intento di rubarne dati e informazioni sensibili come codici di accesso, password, numeri di carta di credito o account interi.
Sebbene sia una delle frodi informatiche di cui ultimamente si sente parlare più spesso, il phishing (un mix dei verbi inglesi fishing, pescare, e phreaking, smanettare) è conosciuto dal 1996 e fa parte dell’ingegneria sociale, ovvero la pratica informatica di estrarre informazioni dalla persona tramite l'analisi del suo comportamento.
Il phishing si fonda su un principio molto semplice: l’anello più debole della sicurezza informatica spesso non è rappresentato dai codici o dai sistemi di cifratura (che hanno ormai raggiunto livelli di sicurezza molto alti) ma dalle persone stesse.
L’utente riceve un'email che sembra affidabile perché contenente loghi e grafiche conosciute, del tutto simili a quelli di siti autorevoli e diffusi come istituti bancari, poste, servizi di pagamento online o organi fiscali. All’interno del testo viene fatto riferimento a una situazione verosimile e che può destare preoccupazione, come la scadenza di una password o il cambiamento delle condizioni contrattuali.
A volte, in modo ancora più subdolo, il messaggio potrebbe fare riferimento a problemi di sicurezza del proprio conto corrente o alla propria situazione fiscale: insomma, viene utilizzata la leva dell’autorevolezza – simulando l’ufficialità della comunicazione – e quella della paura per una situazione potenzialmente dannosa.
Questi due sentimenti sono in grado di sospendere l’incredulità nei confronti dell’email e inducono quindi il destinatario a compiere l’azione richiesta.
Si tratta di solito di un link che porta a un sito finto, anche questo camuffato ad arte per apparire originale e verosimile, dove viene richiesto di inserire i dati di identificazione per accedere alla piattaforma o di confermare gli stessi: in questo modo i nostri dati finiscono nelle mani del truffatore che li utilizzerà per i suoi scopi, come rubare e trasferire somme di denaro o acquistare servizi o prodotti.
Esistono diverse tipologie di phishing, alcune più pericolose o fraudolente di altre. È il caso dello spear phishing, dove l’attacco è mirato a una persona o a una compagnia specifica: l’hacker ne studia movimenti, attività e modalità di interazione per colpire in maniera precisa e accurata. Nel caso di figure di spicco, manager o dirigenti per esempio, si parla di whaling (letteralmente “andare a caccia di balene”) e la truffa è ancora più accurata: i contenuti sono ben strutturati, diretti e personalizzati, spesso ai limiti del ricatto.
Che si tratti di un attacco organizzato o di semplice phishing di massa, è possibile proteggersi con efficacia. È sufficiente essere informati e attenti per non cadere in trappola. Ecco un piccolo elenco delle best practices da seguire per evitare di “abboccare all’amo” del phisher.
- Verificate sempre con attenzione la provenienza del messaggio e il mittente: un istituto o un’organizzazione scriverà sempre dal proprio dominio. Quindi, se riceviamo un'email sospetta che sembra provenire dalla nostra banca, controllate che il mittente corrisponda al dominio reale e abbia una formattazione adeguata.
- Leggete con attenzione il testo dell'email: spesso le comunicazioni false contengono errori grammaticali, di formattazione o contenuti troppo generici che dovrebbero metterci in allerta.
- Non cliccate su alcun link prima di averne verificato la destinazione: è sufficiente passare il mouse sopra il link stesso per controllare l’url, in basso a sinistra nel browser. Anche in questo caso basta confrontare con il dominio ufficiale e una qualsiasi differenza dovrebbe insospettire.
- Non aprite mai allegati sconosciuti o di provenienza incerta.
- Nel caso abbiate cliccato e siate finiti sul sito di destinazione, verificate la presenza di un certificato SSL sicuro di tipo OV o EV (visualizzato da un lucchetto e la scritta sicuro nella barra degli indirizzi; cliccando sul lucchetto è possibile verificare la provenienza e la validità del certificato stesso).
- In caso di ricezione di email non attese ma che sembrano legittime, soprattutto in caso di allegati o link, contattate il mittente dell'email.
Nel malaugurato caso fossimo caduti nella trappola dell’hacker e ci accorgessimo che i nostri dati personali sono stati trafugati o – ancora peggio – sono state prelevate somme sospette dal nostro conto o dalla nostra carta di credito, è necessario agire tempestivamente contattando gli amministratori del portale originale e avvisarlo dell’accaduto, cambiare le credenziali d’accesso e sporgere denuncia presso la Polizia Postale, che aprirà un regolare fascicolo per le indagini.
Inoltre, non dimentichiamo che la sicurezza dei nostri dati è un’attività regolamentata anche dalle recenti
normative Europee GDPR (Su Aruba.it a questa pagina
https://www.aruba.it/gdpr-regolamento-europeo-privacy.aspx potete trovare informazioni approfondite su cosa è il GDPR). Nel momento in cui riceviamo email sospette e abbiamo l’impressione che i truffatori abbiano troppe informazioni sul nostro conto, non dobbiamo esitare a chiedere informazioni all’istituto dal quale sembra arrivare l’email.
Una piccola accortezza può farci risparmiare parecchie brutte sorprese e situazioni fastidiose.