Il phishing è un genere di truffa telematica che ha l’obiettivo di rubare le informazioni e i dati personali degli utenti che navigano su internet.
In cosa consiste il phishing?
Wikipedia lo definisce: “fishing letteralmente “pescare” e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente.
Il phishing è utilizzato da truffatori che effettuano un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi (servizi postali, bancari ecc.); in questi messaggi fraudolenti è richiesto di fornire informazioni riservate come, il numero della carta di credito o la password per accedere ad un determinato servizio.
Negli ultimi mesi grazie anche alla crescente comunicazione di informazioni riguardanti l’attuale pandemia, molti utenti poco attenti alle varie insidie di internet, sono caduti in queste trappole.
In che modo si è vittima del phishing?
Le e-mail indubbiamente rappresentano il vettore principale utilizzato dagli hacker per condurre i loro attacchi phishing.
Per fortuna, con un minimo di attenzione è abbastanza semplice riconoscere le e-mail sospette.
Si tratta quasi sempre di messaggi di posta elettronica, o SMS, che riportano un logo contraffatto e invitano il destinatario ad una specifica pagina web per fornire dati riservati, come per esempio il numero di carta di credito o le credenziali di accesso.
Pagine web che somigliano in modo quasi perfetto a quelle vere, tanto da spingere l’utente a cliccare senza esitazione sui link opportunamente posizionati.
Gli hacker sono diventati molto esperti e utilizzano metodi sempre più difficili da smascherare, perché tanto più difficili da riconoscere.
Se riteniamo sospetta un’e-mail ricevuta, controlliamo che l’indirizzo appartenga realmente alla persona da cui sostiene di provenire;
Qualora incautamente dovessimo cliccare su un link, controlliamo bene nella barra del browser di non essere finiti su un indirizzo sospetto.
Siti come paypall.com invece di paypal.com, oppure g00gle.com anziché google.com hanno minime differenze nell’indirizzo rispetto a quelli autentici.
Questi siti sono usati per ingannare gli utenti a cui sfugge la lettera diversa, ritrovandosi a inserire le proprie credenziali di accesso online, che vengono di conseguenza rubate.
I destinatari delle e-mail sono scelti in modo abbastanza accurato. Di solito vengono colpiti gli utenti che generalmente hanno rapporti reali con i veri mittenti.
Il caso di Adobe, per esempio, è emblematico. Un database non protetto, contenente i dati di 7,5 milioni di utenti della suite Adobe Creative Cloud, è rimasto online per circa una settimana. I dati delle carte di credito sono rimasti al sicuro, ma le mail e altre informazioni sono state accessibili.
Come si viene a contatto con il phishing?
Non esiste un solo tipo di attacco di phishing, oltre ai messaggi possono essere diverse anche le piattaforme e i canali utilizzati.
Il phishing informatico, è quello trattato fino ad ora, ed è il caso “classico”. Attraverso una normale email, sotto forma di messaggio spam che sembra provenire da aziende, siti autorevoli o addirittura da enti pubblici, si cerca di entrare in possesso dei dati sensibili dell’utente.
Questa è la tecnica più diffusa per portare a termine un attacco di phishing, ma ne esistono altre, meno frequenti ma pur sempre efficaci. Ad esempio, lo spear phishing, realizzato mediante l’invio di email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è ottenere l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato, o militari.
Il phishing via social (WhatsApp e Facebook) è stata una evoluzione inevitabile, data la popolarità degli stessi: anche WhatsApp e Facebook sono diventati un terreno fertile per tentativi di phishing, meglio non fidarsi dei messaggi sospetti che circolano nelle chat.
I più comuni si nascondono dietro a finti buoni sconto per il supermercato, abbonamenti per poter continuare utilizzare la stessa applicazione di WhatsApp o usufruire di servizi premium. Rispetto a quelle via e-mail, queste truffe possono trarre in inganno con più facilità, perché condivise nelle chat di conoscenti, amici e persone fidate. Aprendo i link fasulli, il cellulare può essere infettato da un virus che inoltra il link compromesso a tutti i contatti.
Il phishing telefonico o via SMS (conosciuti, rispettivamente, anche con i nomi di vishing e smishing) utilizza un canale forse più diretto, si ricevono chiamate o SMS da numeri sconosciuti che chiamano per conto di un’azienda formulando la richiesta di fornire dei dati. Anche se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.
I consigli per difendersi dagli attacchi phishing
Il consiglio più banale è di non fornire informazioni sensibili al telefono, e non fidarsi mai di mail ordinarie che contengono link. Meglio controllare i propri account direttamente sui siti ufficiali.
E poi seguire alcune semplici precauzioni così riassunte:
- occhio agli errori. Nei casi di phishing più grossolano, le e-mail contengono errori ortografici, o piccole storpiature nel nome del presunto mittente. In ogni caso il reale indirizzo da cui provengono queste e-mail è differente da quello ufficiale.
- non credere alle urgenze. È uno dei fattori sui quali il phishing fa maggiormente leva: un pagamento in sospeso da saldare immediatamente, un premio da ritirare a breve o il rischio di perdere un account se non si paga subito. Quando un’e-mail ti mette fretta, il rischio che sia una truffa è alto.
- attenzione agli allegati. Quando sono presenti allegati con estensione dei file inusuale, o non previsti, è bene prestare molta attenzione. In questo caso, oltre al semplice phishing, potrebbero nascondersi virus dietro quei file.
- nessuno regala niente. Le e-mail che annunciano vincite di denaro, o qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come un campanello d’allarme.
Vediamo qualche esempio
Il caso INPS. Anche l’INPS è protagonista, senza alcuna responsabilità, di una campagna phishing che tenta con l’inganno di sottrarre informazioni sensibili ai cittadini. Si sono verificati tentativi fraudolenti di richiesta di dati attraverso invio di e-mail o telefonate.
In particolare, INPS segnala che alcuni utenti hanno ricevuto un’e-mail contenente l’invito ad aggiornare le proprie coordinate bancarie affinché l’Istituto potesse procedere con l’accredito di un fantomatico bonifico o bonus. E, come se non bastasse, pare che vengano effettuate chiamate da finti operatori telefonici INPS che domandano “dati relativi alla propria posizione nell’ambito di soggetti di diritto privato, come società o associazioni”.
L’invito quindi è di non dar seguito a nessuna richiesta pervenuta tramite mail ordinaria, telefono o porta a porta.
l caso Poste Italiane. Uno dei casi di phishing più noti in Italia è quello che ha riguardato Poste Italiane. Si è diffuso sia via SMS sia via e-mail, con lo scopo di sottrarre agli utenti i numeri delle carte di credito e i dati di accesso ai conti correnti.
I messaggi dietro i quali si nascondeva questa frode erano molteplici: in alcune e-mail si comunicava alle vittime che stava per essere disattivato il conto corrente, in altre che c’era un accredito in sospeso oppure era in corso la manutenzione delle misure di sicurezza.
In ogni caso si richiedeva di inserire i propri dati, numeri delle carte di credito e codici di accesso a conti online.
Il caso Unicredit. Gli enti più ambiti dagli hacker, però, sono le banche. In questi casi gli utenti hanno ricevuto una e-mail, con tanto di logo, in cui veniva chiesto di inserire i propri dati per evitare la sospensione del conto corrente. L’e-mail sollecitava inoltre l’utente ad agire con urgenza per evitare sanzioni economiche.
Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati relativo a un file generato nel 2015. Questo file conteneva circa 3 milioni di record, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. In una nota della banca si legge che nell’accesso non autorizzato a file Unicredit “non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate”.
UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia. Contestualmente ha contattato, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate
.
Le nostre conclusioni
Difendersi dal phishing è difficile, ed è possibile solo quando si ha un’idea di che cosa sia: chiunque non sia a conoscenza di questo tipo di truffa non ci penserà due volte prima di cliccare su un link o su un bottone all’interno di un sito che ritiene affidabile – i siti fasulli sono realizzati con estrema cura, e anche un utente abitudinario farà molta fatica a rendersi conto dell’inganno.
La difesa migliore contro questo tipo di minaccia è la consapevolezza: soprattutto in ambienti aziendali, dove molti account sono attivi ogni giorno e allo stesso tempo – e non sono in pericolo solamente dati privati, ma anche informazioni di clienti e dell’impresa stessa – non ci si può permettere di esporsi.
La scelta migliore, per questo tipo di realtà, è proporre corsi di formazione e promuovere la cyber-security all’interno della propria azienda, così che tutti i dipendenti siano consapevoli di che rischio corrono cliccando su un semplice link di una mail anormale.
Articolo di Vincenzo Bruni