Phishing: cos’è e come evitarlo

phshing, phshing cos’è

Negli ultimi anni, insieme alle tecnologie informatiche, hanno compiuto un grande passo in avanti anche le tecniche utilizzate dagli hackers per truffare ignari utenti, estorcendo informazioni personali, dati sensibili, giudiziaria e finanziari. Purtroppo quello delle truffe informatiche è un tema attuale, al quale tutti gli internauti (ovvero i soggetti che utilizzano la rete) dovrebbero essere sensibili. È proprio la scarsa informazione a causare i danni peggiori: ecco perché abbiamo pensato di dedicare una breve e semplice guida al phishing, un fenomeno sempre più comune, che però ancora in molti fanno fatica a riconoscere e a evitare.

Phishing: cos’è di preciso

Il Phishing (termine inglese che deriva da fishing, ovvero “pescare”) è una tentata truffa ai danni degli internauti, messa in atto da veri e propri criminali o cybercriminali (altrimenti detti phisher) attraverso la rete e più specificatamente, attraverso la casella di posta elettronica. In pratica, lo scopo finale del phishing attack è quello di "pescare" informazioni riservate, credenziali di accesso all’internet banking e dati personali delle vittime, attraverso l'impiego massiccio di email.

Se l’utente “abbocca all’amo” (tra poco ti diremo quali sono le esche preferite dai phisher) purtroppo non potrà sperare in niente di buono: dall’attivazione di abbonamenti alla tv via cavo, alla clonazione della carta di credito, in alcuni casi anche all’accredito di somme di denaro sporco, che potrebbero causare non pochi guai con la legge.

Certo: prima si denuncia l’accaduto, maggiori sono le possibilità di evitare serie conseguenze, tuttavia scriviamo questo articolo per aiutarti a prevenire ogni tentativo di frode, riconoscendo le email truffa non appena queste giungono nella tua “Posta In Arrivo”.

Phishing: come funziona il tentativo di frode

Il phishing è un reato abbastanza recente, messo a punto dagli hackers, che nell’ultimo decennio - grazie all'utilizzo esponenziale dei social network, della posta elettronica e più in generale della comunicazione in formato elettronico - hanno pensato bene di specializzarsi in social engineering, ovvero nell’ingegneria sociale delle frodi commesse in rete. Per dirla in parole povere, invece che progettare malware e virus, i malviventi informatici hanno capito che è molto più fruttuoso “lavorare” sulla psicologia delle persone, sulle pratiche che esse sono solite svolgere e sulle abitudini oramai consolidate nell’uso della rete, come ad esempio inserire username e password, digitare il numero della propria carta di credito o le credenziali d’accesso del proprio account di home banking.

In pratica studiare ingegneria sociale significa imparare a mentire, imparare ad ingannare gli altri. L'obiettivo è entrare in contatto con la vittima con una diversa identità e agire sulla psicologia di quest'ultimo con l'unico fine di carpire informazioni preziose. Le tecniche per così dire "psicologiche" sono tante:

- far leva sull'ignoranza del malcapitato che trovandosi spiazzato dal contenuto del messaggio, non avverte la reale pericolosità del messaggio e finisce proprio per compiere quelle azioni che gli vengono suggerite dal phisher;

- far leva sul panico (ad esempio è stato riscontrato un potente virus nel pc in grado resettare l'hard disk nell'arco dei prossimi 60 minuti), così da spingere il destinatario della mail a compiere un'azione che in altre circostanze non avrebbe mai immaginato di fare;

- agire sul sentimento di colpa dell'utente, ma nel contempo offrendo una soluzione in grado di porre un rimedio ad una situazione. Ad esempio il versamento di una somma a forfait per i download illeciti di musica e film effettuati nell'ultimo periodo. In realtà la pagina allestita per il pagamento ha come unico fine quello di carpire i dati della carta di credito;

- far leva sull'avidità, ad esempio segnalando un prodotto ad prezzo particolarmente vantaggioso ma in offerta limitata così da spingere l'utente a fare di tutto pur di accaparrarselo. In realtà cliccando sul link si attiva un malware in grado di carpire tutti i dati personali del malcapitato;

- far leva sui buoni sentimenti, ad esempio spingendo emotivamente una persona ad effettuare una donazione in favore di un bambino che deve subire un delicato trapianto di organi;

- far leva sul desiderio: la Polizia Postale ad esempio ha pubblicato recentemente un avviso sul proprio sito con cui segnalava l'invio massiccio di e-mail su presunti concorsi per vincere una fornitura per un anno di prodotti di Giovanni Rana. Chiaramente si trattava di un messaggio ingannevole.

Altre volte, invece, si agisce sulla curiosità, sulla fiducia o sul sentimento di gratitudine di una persona. Ma il fine è sempre lo stesso: entrare in possesso dei suoi dati personali.

Phishing conto corrente

Lascia che ti spieghiamo, con un solo ed unico esempio, come funziona il phishing. Chi possiede un conto corrente quasi sicuramente è iscritto alla newsletter della banca, o ne riceve periodicamente messaggi e avvisi. Ecco, i phisher si nascondono dietro messaggi di posta elettronica il cui mittente sembra proprio essere l’istituto di credito. A quel punto l’ignaro utente apre il messaggio di posta, e con sua sorpresa viene a conoscenza che, a causa di un aggiornamento periodico del sistema di sicurezza, deve riconfermare le sue credenziali di accesso al servizio di home banking, ovvero all’account personale dal quale è possibile svolgere operazioni come ricariche telefoniche, ricariche a carte prepagate, bonifici, sottoscrizione di prodotti bancari e così via.

Il messaggio si conclude con un termine perentorio: la verifica deve avvenire entro 24 ore altrimenti il sistema bloccherà l’accesso al conto; dunque l’utente si affretta a cliccare sul link (che sembra proprio essere quello della banca) e a confermare le credenziali. In questo modo i truffatori hanno ottenuto tutte le informazioni utili per entrare nel conto e utilizzare i risparmi senza alcuno scrupolo. Già, perché l’email della banca era un messaggio truffaldino, volto solo a spillare soldi in modo per altro anche abbastanza facile.

Phishing bancario: quali sono le richieste più comuni

Per evitare di “abboccare” all’amo dei malviventi, ti invitiamo a leggere quelle che sono le motivazioni più usate per i tentativi di truffa (phishing) informatica. Scarica e salva i fac simile dei messaggi fraudolenti da questo portale, ma nel frattempo, tieni a mente l’elenco delle “esche” più comuni. Le email-truffa possono richiedere le credenziali ad esempio per:

- rinnovo e conferma delle condizioni contrattuali;
- rinnovo o sostituzione della carta prepagata, carta di credito o di debito;
- scadenza della password in uso;
- problemi relativi all’accredito, addebito o trasferimento di denaro (anche su servizi tipo Paypal).

Phishing e fisco

Porta la data del Marzo scorso una comunicazione con cui l’Agenzia delle Entrate informava i propri contribuenti di email di phishing apparentemente inviate da taluni uffici dell’Agenzia stessa. Nella mail, in pratica, veniva segnalato un debito col fisco e comunicato che, in caso di mancata estinzione, si sarebbe provveduto ad un prelievo forzoso sul conto corrente. Chiaramente nel comunicato l’Agenzia delle Entrate, sottolineando ogni estraneità all’episodio, invitava l’utenza a non tenere conto delle richieste e a cestinare l’email ricevuta.

In altri casi, invece, il tentativo di truffa ha fatto leva sulla possibilità di beneficiari di rimborsi fiscali: sarebbe stato sufficiente compilare un form e in breve tempo si sarebbe ricevuta la somma. Peccato che tra i dati da fornire c’erano anche gli estremi della carta di credito (leggi “Email truffa sui rimborsi fiscali: come difendersi”).

L’11 Aprile scorso anche Equitalia ha pubblicato un avviso mettendo in guardia i contribuenti da e-mail truffa su avvisi di pagamento. Anche in questo caso le mail invitano a scaricare file o a utilizzare link esterni col solo fine di entrare illecitamente in possesso di informazioni riservate.

Altri casi di phishing

Come hai avuto modo di intuire la fantasia dei cybercriminali è senza limite e il phishing si sta via via diffondendo anche sui social network (Facebook eTwitter in primis), così come sui  servizi di messaggistica istantanea come WhatsApp, Telegram e Messenger. E ad esserne coinvolti non sono solo la banca, le Poste, l’Agenzia delle Entrate o Equitalia, ma anche realtà difficili solo da immaginare.

Il phishing ha riguardato, ad esempio, la RAI, con un sito web clone attraverso il quale era possibile regolare il pagamento del canone Rai. Il sito in questione era facilmente raggiungibile attraverso Google con chiavi “canone rai, esenzione canone rai”. Ciò ha spinto la Rai e la Polizia Postale a diramare prontamente un comunicato con cui invitare gli abbonati alla tv di stato ad utilizzare esclusivamente i siti ufficiali dell’Agenzia delle Entrate e del Servizio Abbonamenti Rai (www.canone.rai.it).

Nel settembre 2016 sono state segnalate e-mail e messaggi, inviati anche tramite WhatsApp, provenienti apparentemente dal gruppo IKEA. Nel dettaglio venivano richiesti dati personali per partecipare all’attribuzione di buoni spesa per somme che variavano dai 150 ai 900 euro da spendere poi nei punti vendita della nota catena.

Invece un mittente che si è spacciato per SDA Espress /Gruppo Poste Italiane ha inviato mail aventi per oggetto l’avviso di giacenza di un pacco, con l’indicazione di una penale nel caso di eventuali ritardi nel ritiro. Naturalmente il messaggio conteneva un link su cui cliccare per avere maggiori informazioni. Anche in questo caso la Polizia Postale ha invitato a non cliccare sul link, anzi a cestinare l’email, e a procedere ad un costante aggiornamento del proprio antivirus.

Pensa che il phishing ha interessato, seppur in maniera fittizia, anche la app di messaggistica istantanea più famosa al mondo: Whatsapp. In pratica messaggio, che sembrava proprio provenire da Whatsapp, invitava l’utente a rinnovare l’abbonamento seguendo un link per inserire i propri dati personali.

Pensa che a volte i tentativi di frode sono indirizzati anche a chi cerca lavoro. La truffa avviene sempre attraverso il canale telematico di posta elettronica, ma per conoscerne i dettagli ti invitiamo a leggere “Cerchi lavoro? Occhio alle email truffa”.

Come difendersi dal phishing

Come abbiamo scritto all’inizio dell’articolo, per evitare furti d’identità informatica e raggiri di ogni genere, anche quando si acquista online, è molto utile informarsi, leggere ed aggiornarsi costantemente, come purtroppo fanno anche i phisher. Ogni giorno si mette in atto una nuova strategia di truffa, ma ricorda: è altamente improbabile, per non dire impossibile, che ad esempio la banca possa chiederti di aggiornare le credenziali online. Tutti i controlli, le nuove sottoscrizioni e gli aggiornamenti avvengono di persona, quindi al massimo l’istituto può telefonarti per chiedere un appuntamento, durante il quale svolgere le operazioni più delicate e riservate.

Ora veniamo al sodo: come evitare di essere vittime di phishing?

- Quando ricevi una qualsiasi email dalla banca o da una qualsiasi altra organizzazione, evita di cliccare sul link inserito nel messaggio, piuttosto collegati al sito ufficiale scrivendo l’indirizzo direttamente nella barra URL. Cerca per quanto possibile di servirti di siti che offrono protezione sicura e cifrata (i siti in https:// per intenderci);

- I testi di email phishing contengono spesso errori grammaticali e di traduzione, dunque è sufficiente un’attenta lettura del messaggio per rendersi facilmente conto che si tratta di una truffa;

- Confronta l’indirizzo email del messaggio sospetto con quello delle email precedentemente inviate dalla banca, oppure chiama la filiale più vicina (o il servizio clienti) per avere ulteriori conferme sulla legittimità della comunicazione;

- Se hai qualche dubbio sul contenuto del messaggio, non cliccare su alcun link prima di aver consultato un amico più ferrato di te in simili questioni oppure un esperto informatico;

- Evita di diffondere i tuoi dati personali sui social network e controlla in modo particolare le impostazioni della privacy di Facebook;

- Non scaricare mai eventuali allegati inseriti nella mail, piuttosto chiedi di poter visionare una copia cartacea della comunicazione o della documentazione bancaria andando a ritirarla in filiale oppure ricevendola tramite posta;

- Verifica spesso il saldo del tuo conto corrente, visionandolo dall’home banking, dalla App oppure direttamente dall’ATM. È altresì possibile attivare un servizio in più, il quale purtroppo non è a costo zero, ma potrebbe essere la chiave di volta per individuare prelievi anomali. Stiamo parlando del servizio SMS della banca, che ti avvisa ogni qual volta si effettuano operazioni sul tuo conto corrente;

- Se ricevi un messaggio sospetto, evidenzialo come spam spostandolo in una cartella diversa rispetto a quella della normale “Posta In Arrivo”. Questo ti terrà lontano da eventuali pericoli. Altre due piccole accortezze, da tenere sempre a mente riguardano il browser e l’antivirus: tienili sempre aggiornati, scarica estensioni per migliorarne la sicurezza e la resa, fai controlli periodici;

- non lasciare mai aperte troppe tab del tuo browser, in questo modo eviterai di restare vittima di una tecnica particolarmente insidiosa che prende il nome di "tabnabbing". Molti utenti sono soliti navigare su più siti contemporaneamente, a tal fine preferiscono lasciare più schede (tab) del browser aperte per una futura consultazione. In pratica ad ogni scheda o tab corrisponde un sito o una pagina. Ed è proprio nel momento in cui l'utente lascia aperto un tab per visitarne un altro, che interviene il malfattore per modificare il contenuto della pagina web in una interfaccia con login e password (ad es. del sito Poste italiane piuttosto che della nostra banca). Così nel momento in cui l'utente ritornerà in quel tab con tutta probabilità non si ricorderà più che quella pagina deriva da un link malevolo e potrebbe inconsapevolmente essere indotto ad inserire i propri dati;

- Se hai eseguito una procedura telematica sul sito della banca, ma ti accorgi che qualcosa non torna, non esitare ad informarla, segnalando eventuali malfunzionamenti o stranezze;

- Infine, se ti accorgi di essere vittima di una frode informatica, non esitare a contattare le autorità (come Carabinieri, Polizia Postale o Guardia di Finanza) e la tua filiale, denunciando comportamenti sospetti o veri e propri addebiti anomali. Rivolgendoti alla Polizia Postale potrai effettuare la segnalazione direttamente online, non prima però di esserti registrato. Se invece vuoi procedere con una denuncia, sappi che la Polizia di Stato ti offre il servizio “Denuncia via web di reati telematici”. Chiaramente dovrai prima registrarti al sistema fornendo alcuni tuoi dati personali. Nella compilazione del form ti verrà richiesto di scegliere in quale Ufficio di Polizia vorrai recarti per completare la procedura.

Phishing email: cosa fare se sei stato truffato

Hai inserito i tuoi dati personali all’interno del sito web, cosa fare? Il consiglio in questo caso è di mettersi subito in contatto con la banca, con la società che ha emesso la carta di credito o con l'amministratore del sito originale e spiegare l’accaduto. Quindi modificare la password che con tutta probabilità ti è stata carpita e sporgere denuncia.

Controllando il tuo estratto conto noti degli addebiti sospetti: qualcosa non torna e dopo esserti consultato con un eventuale cointestatario del conto corrente, hai buone ragioni per credere di essere vittima di una truffa o di un errore nel sistema. Cosa fare in questi casi? In presenza di un addebito anomalo, sia esso di piccolo o grande importo, la prima cosa da fare è contestarlo all’istituto bancario.

Puoi recarti in filiale di persona, tuttavia per formalizzare la contestazione è altresì utile inviare una raccomandata o una raccomandata 1, se vuoi che arrivi nel minor tempo possibile. Tutti i moduli e le indicazioni utili per eseguire correttamente la procedura sono indicati nell’articolo che abbiamo dedicato al tema “Come contestare l’estratto conto bancario”.

Dalla data di ricevimento della raccomandata, la banca ha 30 giorni di tempo per rispondere efficacemente alla tua segnalazione. Se ciò non avviene o la posizione presa nei confronti della tua problematica ti delude, puoi rivolgerti all’Arbitro Bancario Finanziario. Nel caso in cui, invece, la problematica gira intorno alla Carta Postepay, al Bancomat o alla Carta di credito, ti consigliamo di approfondire l’argomento, leggendo gli articoli specifici che abbiamo redatto, così da comprendere meglio la situazione e reagire alla difficoltà con sicurezza ed efficienza:
- “Come contestare addebiti fraudolenti sulla Postepay”;
- “Carte di credito: come contestare un addebito”;
- “Bancomat: come funziona e come tutelarsi da furti e addebiti anomali”.

Documenti correlati
Lascia un commento
Attenzione: prima di inviare una domanda, controlla se è già presente una risposta ad un quesito simile.

I pareri espressi in forma gratuita dalla redazione di Moduli.it non costituiscono un parere di tipo professionale o legale. Per una consulenza specifica è sempre necessario rivolgersi ad un professionista debitamente qualificato.

Obbligatorio
Non verrà pubblicata