Un fenomeno sempre più diffuso che in questo 2020 è diventato il pericolo numero uno sia per aziende sia per i normali cittadini, costretti ad affrontare la sfida dello smart working senza le dovute difese contro attacchi di cyber criminali senza scrupoli. Il Phishing è il re assoluto delle frodi perpetrate online negli ultimi cinque anni. Gli attacchi condotti dai cosiddetti phisher stanno diventando sempre più precisi e sofisticati, difficili da prevenire in quanto portati a termine con tecniche avanzate e innovative di social engineering. In questo articolo impareremo come difenderci da questo pericolo e vi daremo le giuste dritte per individuare un attacco di phishing, riconoscerlo e segnalarlo.
Cos’è e cosa significa Phishing
L’etimologia del termine phishing è abbastanza incerta. Sicuramente deriva dall’inglese “fishing” (pescare) e per alcuni il “ph” è mutuato dalla parola “phreaking” (un termine inglese che sta ad indicare l’attività di chi studia e in generale sfrutta l’universo della telefonia e i sistemi telefonici per trarne vantaggi personali, per curiosità e per scovare falle interne), per altri si tratta dell’unione tra fishing e password, dato che l’obiettivo del Phishing è proprio quello di rubare dati personali quali password.
Il Phishing è una complessa e articolata truffa online. I cyber criminali che sono dietro a questi attacchi hanno come obiettivo quello di appropriarsi illegalmente dei dati personali e confidenziali degli ignari utenti che navigano su internet. Nello specifico attraverso la loro attività criminale viene perpetrato il furto di username e password, di dati relativi a conti bancari o carte di credito e tanti altri dati riservati che possono creare profitto anche attraverso il ricatto.
Come avviene in concreto un attacco Phishing
Il Phishing come abbiamo accennato sopra è fra i pericoli del web più diffusi e in questo 2020 ha avuto una vera e propria esplosione, complice la pandemia e l’uso massivo di internet fatto dalle persone per restare connessi.
Secondo uno studio condotto da SolarWinds MSP è emerso un picco negli attacchi dall’inizio della diffusione del COVID-19, con un aumento di oltre l’80% degli attacchi di phishing rispetto all’anno passato.
I cyber criminali, operano queste attività attraverso l’invio di e-mail che riproducono i template ufficiali delle comunicazioni di banche, istituti finanziari, siti e-commerce e tante altre entità del web.
Queste false email, hanno sempre carattere d’urgenza e spingono l’utente a compiere un’azione che solitamente si conclude con il clic ad un link che riporta ad una finta pagina dove viene chiesto di inserire le proprie credenziali per accedere. Qui avviene la truffa nel concreto, infatti, quando vengono inseriti questi dati, gli stessi, sono automaticamente inviati al malvivente che avrà libero accesso ad un enorme mole di dati sensibili.
Alcuni Esempi di Phishing
La mail classica che un po’ tutti abbiamo ricevuto è quella della banca che per via di una problematica grave o di un’opportunità fantastica ci invita a cliccare su un link e accedere alla nostra area riservata.
In alcuni casi i phisher usano urgenza e pericolo tipo:
“abbiamo rilevato un accesso sospetto alla tua Home Banking, ti preghiamo di accedere per confermare la tua identità e cambiare la password”
In altri casi cercano di “perderti per la gola”, avvisandoti di un fantomatico bonifico a tuo favore che richiede l’accesso per confermare la tua identità.
Ultimamente l’evoluzione del phishing si chiama “spear phishing” ed avviene tramite invio di SMS sempre contenenti Link, alcuni esempi sono:
- “Amazon ti ha selezionato per un buono da 100€ accedi da qui al tuo account e riscatta il codice”
- “Ti comunichiamo che è stato emesso il rimborso per il tuo recente acquisto, clicca qui per verificare il nuovo saldo della tua carta di credito”
- “Il tuo pacco è in consegna oggi. Per confermare l’indirizzo di spedizione clicca qui e inserisci i dati del tuo acquisto”
Come riconoscere una mail phishing
Partiamo dal presupposto che nessuna banca o istituto finanziario ti chiederebbe di inserire i tuoi dati per qualsiasi operazione se non dal sito ufficiale.
Questo che cosa significa? Che già con una buona dose di attenzione qualche pericolo lo si riesce ad evitare anche solo avendo coscienza delle richieste che riceviamo tramite e-mail.
Ma vediamo alcuni indizi che possono farci facilmente capire che si tratta di phishing:
- Fate attenzione ad ortografia e grammatica.
Le e-mail di phishing spesso sono scritte male. Viene usato un italiano non corretto o palesemente tradotto con un traduttore online. - Analizzate bene il link a cui rimanda la pagina.
Questa è un’operazione fondamentale, perché i domini sono palesemente falsi, cercano di riprodurre il dominio reale ma facendo una rapida ricerca su Google potrai capire subito che non si tratta del vero dominio della tua banca o del tuo istituto finanziario. - Individua da quale indirizzo proviene la mail.
Nella maggior parte delle volte è un indirizzo non appartenente alla banca. Altre volte i phisher riescono a mascherare questa cosa mostrandoti un indirizzo che sembra a tutti gli effetti del tuo istituto finanziario, ma analizzando il codice sorgente della mail riesci a capire subito che si tratta di una mail di spam falsa e di un tentativo di phishing, perché ti verrà mostrato il vero mittente. - La grafica della mail non è coerente
Spesso la grafica e la formattazione non sono coerenti con i colori dell’azienda che la mail dice di essere. Altre volte la formattazione e totalmente sballata e l’html interno alla mail risulta pieno di errori. Dunque, se ti trovi difronte ad una mail con un layout anche minimamente sospetto, cestinala.
Come difendersi dal phishing
In genere i provider che offrono le caselle di posta elettronica riescono a bloccare la maggior parte di questi tentativi. Grazie ad algoritmi complessi e all’uso dell’AI, provider come Gmail by Google riescono ad intercettare 18 milioni di phishing al giorno.
Per difenderci dal phishing innanzitutto ci vuole più attenzione da parte nostra nel valutare i piccoli dettagli che abbiamo citato sopra e poi possiamo operare queste quattro cose:
- Dotarci di un ottimo antivirus che possa fare la scansione anche della posta in entrata
- Affidarci per Internet e i dati privati e aziendali ad un Partner con certificazioni di sicurezza garantite
- Non cliccare all’interno di nessun link nelle e-mail e negli SMS. Se proprio pensiamo sia una comunicazione genuina, entriamo nell’area riservata della nostra banca tramite APP o pagina ufficiale, sicuramente, se ci sta una comunicazione importante, ci verrà notificato.
- Mantenere il nostro smartphone e il nostro PC sempre aggiornati. Anche il nostro browser preferito deve essere sempre aggiornato, in modo tale da poterci segnalare eventuali siti fraudolenti.
Come segnalare phishing
A seconda se hai ricevuto, accorgendotene in tempo, un tentativo di phishing oppure sei cascato nella rete di un phisher, le operazioni che devi svolgere sono diverse. Se hai riconosciuto una mail o un sms di phishing, devi innanzitutto segnalarlo al tuo provider e-mail, poi all’azienda che veniva citata nella mail e anche alla polizia postale.
Se sei stata vittima di phishing, devi invece rivolgerti immediatamente alla polizia postale per denunciare l’accaduto. Ricordati anche di bloccare tutte le carte e i conti correnti a te intestati. Modifica le password e attiva doppie chiavi di sicurezza e OTP per gli account che usi più spesso e dai quali potrebbero essere prelevati dati sensibili.
