Phishing: come difendersi dalla truffa che svuota i conti postali
La parola phishing assomiglia molto ad un termine inglese, ossia fishing. Il suo significato è “pescare, acchiappare” e non potrebbe esserci metafora più adatta. In linguaggio digitale infatti si utilizza per indicare una forma di truffa che attira le vittime con un’esca, ovvero un messaggio o una email apparentemente innocui.
Secondo altri invece deriva da un termine più tecnico riferito all’ambito telefonico, ossia phreaking. Non esiste un verbo italiano analogo adatto a rendere l’idea ma ciò che intende è l’utilizzo illegale di telefoni e cellulari. Le tecniche utilizzate per questa frode sono in continua evoluzione e ancora oggi è facile caderne vittima.
Cos’è il phishing e come è nato
Una volta chiarita l’origine del termine è ora di passare al lato pratico, ossia come un hacker svolge un’azione di questo tipo. Normalmente non si scelgono vittime precise ma si sfruttano i nomi di note istituzione per spingere la gente ad aprire delle email un po’ particolari. Di solito il mittente riporta nel suo indirizzo “carabinieri”, “banca” o “agenzia delle entrate”.
All’interno della mail si trova poi un breve messaggio che invita ad aprire un link in allegato con pretesti apparentemente banali. Ad esempio aggiornare le proprie credenziali perché la password è scaduta, oppure aggiungere delle informazioni. Il collegamento da usare di solito riporta a sua volta il nome di un ente pubblico o noto per rassicurare ulteriormente la vittima dell’attacco phishing.
Se l’incauto di turno in buona fede apre il link si ritrova all’interno di una pagina web costruita ad hoc per emulare quella della banca o dell’ente reale. Qui gli verranno richiesti i dati personali per effettuare l’accesso e così l’hacker avrà in pugno tutto ciò che serve. Potrebbe ottenere i numeri della carta di credito o la password per l’account reale.
In genere una volta rubate le informazioni personali l’azione si conclude e l’hacker passa a sfruttare i dati acquisiti. Esistono però dei casi in cui onde evitare che la vittima agisse prontamente sul suo PC o cellulare venisse anche scaricato un programma malware. In alcuni casi questa truffa è servita ad accedere ai sistemi informatici aziendali tramite gli account dei dipendenti.
Come difendersi da questi attacchi
Ci sono diversi sistemi per prevenire il phishing e il primo in assoluto è usare il buonsenso. Molte email dannose riportano frasi che solitamente sono generate in automatico e il tono è allarmante o comunque non rispetta la formalità che dovrebbe avere un ente come la banca. Inoltre gli indirizzi falsi di solito si scoprono cercando semplicemente quello ufficiale nella propria casella o su Internet.
Bisogna anche insospettirsi se un ente che in teoria dovrebbe già avere i nostri dati li richieda nuovamente all’improvviso. Serve fermarsi a ragionare ed eventualmente una breve ricerca sul web. Appena si individua una truffa in circolo compaiono presto notizie a riguardo proprio per evitare che altri cadano vittima del tranello.
Un altro scudo dalle azioni di phishing è l’evitare di sfruttare reti Wi-fi pubbliche, che sono poco sicure. Se proprio non se ne può fare a meno conviene installare una VPN (Virtual Private Network) per non far capire da dove ci si collega. Quando si è in giro per vacanze o viaggi è una grossa tentazione sfruttare i Wi-fi che si trovano, ma meglio che siano protetti da una password.
Se si crede invece che il link allegato sia autentico, come scrupolo in più si può passarci sopra il mouse e verificare che questo non cambi il testo nella finestrella che si apre. Spesso infatti i collegamenti malevoli si mascherano cambiando il testo che appare sulla mail rispetto a quello effettivo. Inoltre se questo non riporta la sigla “https” non è il caso di stare tranquilli.
Email di phishing diventate famose
Come ogni truffa che si rispetti non è raro che qualche azione di questo tipo diventi famosa (forse anche grazie agli ethical hacker). Alcune anzi sono diventate protagoniste di meme e battute online. Una in particolare era rivolta agli utenti della piattaforma PayPal ed invitava gli iscritti a cambiare le credenziali di accesso.
Onde evitare che si verifichi nuovamente PayPal stessa ha diffuso sul sito una nota dove dichiara che quando contatta il proprietario di un profilo ne indica sempre Nome e Cognome. Non utilizzerà mai invece appellativi generici come invece avviene in un attacco phishing dove si cerca di colpire uh grosso numero di persone.
Circa sei anni fa invece si era scatenato il panico a causa di un messaggio falsificato che sembrava provenire dal colosso dello streaming in persona, Netflix. Il testo invitava l’utente a fornire di nuovo i dati per il pagamento per un presunto problema di addebito del costo mensile. In questo modo molti hanno dovuto correre subito a bloccare la carta associata all’account, compreso di essere caduti in un inganno.
Anche WhatsApp è stata sfruttata in un tentativo di raggiro divenuto celebre. Gli utenti ricevevano un messaggio dove si annunciava che presto l’app sarebbe stata a pagamento. L’unico modo per non diventare clienti paganti era confermare il profilo aprendo anche qui un link sospetto. Premendoci sopra si scaricava uno spyware senza volerlo.