Phishing: cos’è e come proteggersi
E’ una delle minacce informatiche più conosciute, ma allo stesso tempo una di quelle in cui continuiamo a cascare troppo spesso. Si tratta del phishing, un genere di truffa telematica che ha l’obiettivo di rubare le informazioni e i dati personali degli utenti.
In particolare il cyber-malintenzionato inganna l’utente,
sfruttando le potenziali paure dello stesso, e sottraendogli informazioni preziose, come le credenziali bancarie o i documenti d’identità che poi possono essere utilizzati per compiere una serie di azioni illegali, senza che l’interessato ne venga a conoscenza.
Per esempio, il criminale ha così l’opportunità di usare il nostro nome e cognome per vendere online della merce inesistente: farsi pagare e poi scomparire, lasciando che siano a nostro carico sia le denunce che il processo per truffa.
Che cos’è il phishing e in cosa consiste
Il metodo d’attacco preferito, fin dagli albori del web, è l’email. Il mittente del messaggio di posta elettronica sembra un’organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c’è un problema relativo al nostro account, in genere legato alla sicurezza.
Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dal cracker. Difficile accorgersi della differenza, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta. Così l’utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Non solo, una volta entrati sul sito fasullo, è possibile che il nostro dispositivo venga infettato da virus, come trojan horse e malware.
Ma oggi non c’è solo l’email a disposizione di questo tipo di attacchi, anzi il phishing sta sempre di più assumendo una dimensione social.
Secondo un’indagine del 2017 condotta dal gigante di sicurezza informatica Kaspersky, Facebook è stato uno dei primi tre obiettivi per il phishing (piazzandosi, circa, all’8%), seguito da Microsoft Corporation (al 6%) e da PayPal (al 5%). Più nel dettaglio, nel primo trimestre del 2018, la rete sociale di Mark Zuckerberg ha guidato la classifica del phishing connesso ai social network, seguito da VK – l’equivalente russo – e da LinkedIn.
La tattica è identica: il truffatore crea la copia della pagina di un social network (ad esempio una falsa pagina Facebook) e cerca di attirare le ignare vittime, costringendole a condividere i propri dati personali – come nome, password, numero di carta di credito, codice PIN e altro ancora – nel corso del processo.
Come difendersi dal phishing
La regola principale per difendersi, è solo una: nessuno può tutelare le nostre informazioni meglio di noi stessi.
Per questo è necessario creare dati con cura, gestirli con cura e diffonderli, il meno possibile, con cura nonché essere pronti ad affrontare eventuali emergenze.
Di solito le email o i messaggi di phishing hanno un tono allarmistico. Un classico esempio è “Se non rispondi, il tuo account verrà chiuso in 48 ore”.
E, nel caso della posta elettronica, vengono inviati in blocco: per cui nella barra riservata ai destinatari non compare alcun indirizzo email.
Ecco una breve guida, passo dopo passo, per non cadere nella trappola del phishing:
- Verificare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser;
- Prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà.
Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso; - Usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, senza una password di protezione.
Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico.
Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i cybercriminali possono reindirizzarci, senza essere visti, a pagine di phishing; - Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina.
Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo; - Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email
Cosa fare dopo aver subito un attacco?
Se abbiamo subito un attacco di phishing , possiamo difenderci e difendere chi come noi ,ingenuamente, potrebbe cascarci. La prima cosa da fare è denunciare il tutto alla polizia postale e delle comunicazioni.
All’interno dell’homepage dedicata alle segnalazioni, troviamo diversi riquadri da compilare. Una volta effettuata la denuncia, la Pubblica Sicurezza aprirà un regolare fascicolo che verrà trasmesso alla Procura della Repubblica per ottenere le necessarie autorizzazioni a procedere.
Ulteriori Info su come difendere i tuoi dati, contattaci dalla seguente pagina.