Si sente sempre più spesso parlare di “phishing”, ma di cosa si tratta esattamente?

Definizione di Phishing

È una forma di truffa telematica, che viene adoperata con l’obiettivo di estorcere informazioni e dati personali degli internauti.

Rappresenta una delle minacce informatiche più conosciute, ma allo stesso tempo una di quelle in cui la maggior parte degli utenti continua a cadere troppo spesso.

Il phishing può essere definito come una forma di adescamento. Il cyber-malintenzionato, infatti, per mezzo del phishing inganna psicologicamente l’utente, sfruttando le sue paure e sottraendogli informazioni personali e preziose come le credenziali bancarie o i documenti d’identità.

Questi dati possono essere poi utilizzati per compiere una pluralità di azioni illegali, senza che l’interessato ne venga mai a conoscenza.

A titolo di esempio, il criminale ha così l’opportunità di utilizzare il nome e il cognome dell’utente per vendere online merce inesistente, facendosi pagare per poi scomparire. E può fare in modo che sorgano, a carico dell’utente, denunce dalle quali potrebbe avere inizio un processo per il reato di truffa.

Attenzione alle mail sospette

Il metodo d’attacco preferito, sin dagli albori di questo fenomeno, sono gli indirizzi e-mail.

Il mittente dei messaggi di posta elettronica appare come un’organizzazione attendibile, ad esempio istituti bancari o Poste Italiane oppure, ancora, autorità giudiziarie.

Nel testo di questi messaggi appaiono avvisi relativi a problemi sugli account degli utenti solitamente legati alla sicurezza, con cui gli stessi sono invitati a cliccare su un link che rimanda a siti fittizi controllati dal cracker.

Tuttavia è difficile accorgersi della falsità del sito internet, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta.

In questo modo l’utente è indotto a inserire i propri dati senza rendersi conto che le sue informazioni saranno rubate da un criminale.

Non solo: è possibile che, una volta entrati sul sito fasullo, il dispositivo dell’utente sia infettato da virus, come trojan horse o malware.

I social come nuova

Ad oggi, tuttavia, non è solo l’e-mail a essere utilizzata per questo tipo di attacchi, perché il phishing sta sempre più assumendo una dimensione social.

Infatti, secondo un’indagine condotta nel 2017, Facebook è uno dei primi tre obiettivi per il phishing, seguito da Microsoft Corporation, PayPal, LinkedIn e Telegram.

Il meccanismo è lo stesso: il truffatore crea una copia della pagina del social network e cerca di attirare la vittima ignara, costringendola a condividere i propri dati personali (nome, password, numero di carta di credito, codice PIN e altro ancora).

Come difendersi da questi attacchi?

Nessuno può tutelare le nostre informazioni meglio di noi. Pertanto è necessario creare dati e gestirli con cura, diffondendoli il meno possibile, ed essere pronti ad affrontare eventuali situazioni spiacevoli.

Per riconoscere un attacco informatico è opportuno osservare come, solitamente, le mail o i messaggi abbiano un tono allarmistico.

È importante controllare sempre il link e il mittente della mail prima di cliccare o, ancora meglio, non cliccare affatto sul link inviato, ma tutt’al più copiarlo nella barra di ricerca sul browser, così da verificare che l’indirizzo mostrato sia davvero lo stesso al quale il link condurrà (un controllo che può essere effettuato da tutti, in modo semplice, si compie passando il mouse sopra il link stesso).

È fondamentale anche usare solo connessioni sicure, soprattutto quando si accede a siti sensibili, che contengono informazioni e dati sensibili, come pagine per l’online banking, negozi online o social media.

Come precauzione basilare si consiglia di non sfruttare connessioni sconosciute, wi-fi pubblici che non prevedano una password di protezione, non condividere i propri dati sensibili con terzi. Dobbiamo infatti sempre ricordarci che le compagnie ufficiali non chiedono mai informazioni di questo tipo a mezzo mail.

Se si è subito un attacco phishing

Laddove si subisca un attacco phishing è importante sapere come risolvere la questione. È possibile infatti segnalare l’attacco direttamente sul sito del commissariato della Polizia di Stato online, che è una sorta di ufficio gestito dalla Polizia Postale e delle Comunicazioni, mediante il quale si possono inoltrare comunicazioni relative a reati informatici di cui veniamo a conoscenza.

Qualora l’utente avesse inserito i suoi dati su un sito fake, deve essere contattato l’amministratore del portale originale per avvertirlo di quanto accaduto, cambiare la password e poi sporgere denuncia.

Se il cracker è riuscito a estorcere all’utente una copia digitale del suo documento d’identità si deve passare immediatamente alla denuncia dell’accaduto alle competenti autorità, anche mediante il sito internet della Polizia Postale.

Dopo la denuncia, la Pubblica Sicurezza procederà all’apertura di un regolare fascicolo, che sarà poi trasmesso alla Procura della Repubblica.

Lo spear phising, il ‘nobile nigeriano’, il Green Pass clonato

Una forma particolare di phishing è il c.d. spear phishing, che è realizzato anch’esso attraverso l’invio di mail fraudolente. Ma ha un target più mirato, poiché le vittime sono rappresentate da organizzazioni o persone specifiche. Pertanto, è ancora più difficile capire che si tratta di una truffa.

Gli scopi di questi attacchi sono tipicamente due: l’estorsione di denaro o l’accesso a informazioni riservate di tipo finanziario, segreti industriali, segreti di stato o segreti militari.

Nell’anno 2017, milioni di abbonati a Netflix hanno ricevuto il seguente messaggio di posta elettronica: “Gentile cliente, stiamo avendo problemi con i tuoi dati di fatturazione, per eseguire di nuovo il login occorre aggiornare l’account”.

Con questa mail si chiedeva agli utenti di aggiornare le informazioni relative alla modalità di pagamento, e chi cadeva nella trappola perdeva sia i propri dati personali sia quelli della carta di credito, debito o prepagata associata all’account.

Tra le mail phishing più diffuse vi è anche quella che giungeva da un presunto nobile nigeriano che dichiarava di non riuscire a sbloccare il suo conto in banca milionario, proponendo uno scambio: l’utente diventava il suo prestanome e forniva denaro per le spese legali necessarie, ricevendo in compenso una parte del bottino.

Il furto di dati è sempre in aggiornamento, e non si è arrestato nemmeno nel periodo più duro della pandemia da Covid-19. Una specifica modalità è stata segnalata dalla Polizia di Stato nel mese di febbraio del 2022, con riferimento ad un messaggio che giungeva apparentemente dal Ministero della Salute e che segnalava falsamente che la certificazione verde, c.d. GreenPass, era stata clonata e che, per evitare il blocco definitivo, era necessario verificare la propria identità attraverso un link fasullo allegato al messaggio.

Misure anti-phishing

Esistono anche mail con cui si annuncia all’utente, da parte di un istituto bancario o postale, di essere stato vittima di un attacco hacker e si invita a cambiare tutte le proprie credenziali. Tuttavia, il messaggio non arriva affatto dalla società che offre servizi di pagamento digitale e di trasferimento di denaro, bensì dai criminali informatici che hanno lo scopo di rubare dati.

Anche gli stessi istituti adottano soluzioni per proteggere la propria clientela.

PayPal, per esempio, sul suo sito ufficiale, afferma che nelle mail indirizzate ai propri clienti utilizza il nome e il cognome o la ragione sociale registrati sul conto, pertanto si raccomanda di non fidarsi di incipit generici.

In conclusione, misure anti-phishing si sono implementate all’interno dei browser con la creazione di estensioni, nonché nel corso delle procedure di login e, ad oggi, sono anche disponibili appositi software contro il phishing.

Certamente – lo si ribadisce – è sempre utile leggere con attenzione le mail ricevute, e verificarne il mittente e il testo del messaggio. Questo perché il malintenzionato provvederà a inviare un messaggio finalizzato a solleticare le emozioni dell’utente, che quindi tenderà a essere precipitoso nel voler riparare il problema descritto.

Per questo motivo, la misura migliore è non dar seguito alla mail e aprire una nuova pagina nel browser, contattando direttamente il sito dall’url di cui si è a conoscenza, o cercare direttamente dal motore di ricerca.

a cura di Leonardo D’Erasmo (@avvleonardo)