Phishing: cos’é e come difendersi da questa minaccia?

Hai mai ricevuto una e-mail sospetta che ti chiedeva di fornire dati cliccando su un link? Quando hai cliccato, hai avuto un senso di stranezza? Beh, quello che hai sperimentato è un caso di Phishing. Scopriamo insieme in dettaglio cosa è il Phishing e come difendersi da questa minaccia che può presentarsi nella vita di tutti noi.

Il phishing è indubbiamente una delle minacce informatiche più conosciute e diffuse. Si tratta di una forma di truffa telematica in cui gli aggressori cercano di ingannare gli utenti al fine di ottenere informazioni personali e sensibili, come username, password, dati bancari o altre informazioni confidenziali.

I malintenzionati utilizzano solitamente metodi ingannevoli per far credere alle vittime di essere in contatto con un'organizzazione o un individuo attendibile. Ad esempio, possono inviare e-mail, messaggi istantanei o messaggi sui social media che sembrano provenire da istituti finanziari, servizi online popolari o altri enti affidabili. Questi messaggi di solito contengono richieste urgenti di fornire informazioni personali o di visitare siti web contraffatti che sembrano autentici ma sono creati per rubare le credenziali dell'utente o i suoi dati personali.

Una volta ottenute le informazioni personali, i truffatori possono utilizzarle per vari scopi illegali. Ad esempio, possono effettuare transazioni finanziarie non autorizzate, aprire nuovi account a nome della vittima, vendere le informazioni personali sul mercato nero o commettere frodi a danno dell'utente o di altre persone.

Vediamo più in dettaglio come funziona l’attacco phishing via mail, quello più comune:

Il phishing, o per essere più concreti l'utente malintenzionato, invia un messaggio email all'utente simulando la grafica e il contenuto di un'istituzione conosciuta dal destinatario, come la sua banca, il suo provider web o un sito online a cui è iscritto.

Nel messaggio email vengono inclusi avvisi di situazioni particolari o problemi verificatisi sul conto corrente o sull'account dell'utente, come addebiti sospetti o la scadenza dell'account, oppure viene offerta una somma di denaro (un metodo che fa cadere molti nel tranello 🤑).

L'email invita il destinatario a seguire un link presente nel messaggio per evitare addebiti o per risolvere la situazione con l'ente o la società a cui il messaggio si fa passare. Questo è conosciuto come "fake login".

Tuttavia, il link fornito non conduce al sito web ufficiale, ma a una copia falsa che appare simile al sito originale. Questa copia è ospitata su un server controllato dal phisher e ha lo scopo di richiedere e ottenere dati personali particolari dall'utente. Spesso viene chiesta una conferma o un'autenticazione al sistema come pretesto. I dati forniti vengono memorizzati sul server gestito dal phisher e finiscono nelle mani del malintenzionato.

Il phisher utilizza queste informazioni per effettuare acquisti, trasferire denaro o sfruttarle come punto di partenza per ulteriori attacchi.

Ma attenzione oltre alle e-mail, ci sono altri mezzi utilizzati per gli attacchi di phishing, e sempre più spesso questa minaccia assume grandi dimensione sui social media. 

Secondo un'indagine condotta nel 2017 dalla nota società di sicurezza informatica Kaspersky, Facebook è stato uno dei primi tre obiettivi per il phishing, rappresentando circa l'8% degli attacchi, seguito da Microsoft Corporation con il 6% e PayPal con il 5%. Nel primo trimestre del 2018, in particolare, il social network di Mark Zuckerberg ha dominato la classifica dei casi di phishing legati ai social network.

La tattica utilizzata è la stessa: l'aggressore crea una copia della pagina di un social network, ad esempio una falsa pagina di Facebook, e cerca di attirare le vittime ignare, costringendole a condividere informazioni personali come nome, password, numeri di carte di credito, codici PIN e altro ancora durante il processo. 

Ora che hai capito cos’é il phishing passiamo a vedere come difendersi da questo pericolo, che a volte fatichiamo a riconoscere perché diciamocelo il phishing diventa sempre più difficile da vedere. Vediamo come fare, vedrai che é semplice. 

La regola fondamentale da tenere a mente costantemente, è che la protezione delle nostre informazioni spetta principalmente a noi stessi.

Pertanto, è essenziale creare, gestire e condividere i dati con attenzione, limitandone la divulgazione il più possibile e adottando precauzioni per affrontare eventuali situazioni di emergenza.

Solitamente, le e-mail o i messaggi di phishing presentano un tono allarmante. Un esempio classico potrebbe essere: "Se non rispondi, il tuo account verrà chiuso entro 48 ore". Inoltre, le e-mail di phishing vengono inviate in massa, quindi nella barra dei destinatari non viene visualizzato alcun indirizzo e-mail.

Di seguito, ti fornisco una breve guida passo dopo passo per evitare di cadere nella trappola del phishing:

1. Prima di cliccare su qualsiasi link, controlla sempre attentamente il link stesso e il mittente dell'e-mail. È consigliabile copiare l'indirizzo del link nella barra degli indirizzi del browser anziché cliccarvi direttamente.
2. Verifica che l'indirizzo visualizzato corrisponda effettivamente all'indirizzo a cui il link dovrebbe condurre. Puoi farlo passando il cursore del mouse sopra il link per visualizzare l'URL completo.
3. Utilizza esclusivamente connessioni sicure, soprattutto quando accedi a siti sensibili. Evita di utilizzare reti Wi-Fi pubbliche non protette o connessioni sconosciute. Se desideri un livello di sicurezza aggiuntivo, considera l'installazione di una VPN che cripta il traffico. Ricorda che l'utilizzo di una connessione non sicura potrebbe consentire ai criminali informatici di reindirizzarti, inosservati, a pagine di phishing.
4. Verifica che la connessione sia protetta tramite il protocollo HTTPS e controlla attentamente il nome di dominio quando visiti una pagina web. Questi aspetti sono particolarmente importanti quando si utilizzano siti che contengono informazioni sensibili, come servizi di banking online, negozi online, social media, e così via.
5. Non condividere mai i tuoi dati sensibili con terze parti. Le aziende legittime non richiedono mai tali informazioni tramite e-mail. Fai attenzione a non fornire i tuoi dati personali, come password, numeri di carte di credito, o altre informazioni sensibili, tramite e-mail.
   

Seguendo questi consigli non cadrai più nel tranello e non rischierai più di dare le tue informazioni personali a persone malintenzionate. 

Ho aperto una mail di phishing…aiuto!

Vediamo come risolvere. 

Se ci siamo imbattuti in un sito falso e abbiamo inserito i nostri dati personali, o se sono riusciti a ottenere una copia digitale del nostro documento di identità, ci sono alcune azioni da intraprendere. Nel primo caso, è necessario contattare l'amministratore del sito originale per informarlo dell'accaduto, cambiare immediatamente la password e successivamente presentare denuncia alle autorità competenti. Nel secondo caso, è obbligatorio denunciare l'accaduto.

La buona notizia è che possiamo effettuare tutte queste azioni comodamente da casa, seduti sul divano, grazie al sito della Polizia Postale. All'interno della pagina dedicata alle segnalazioni, troveremo diversi moduli da compilare. Una volta effettuata la denuncia, le forze di Pubblica Sicurezza apriranno un regolare fascicolo che verrà poi trasmesso alla Procura della Repubblica per ottenere le autorizzazioni necessarie per procedere legalmente.

A volte riceviamo delle email di Phishing oppure delle pagine che ci sembrano sospette 

Possiamo segnalare l'attacco e aiutare gli altri a evitare di essere ingannati. Tutto questo può essere fatto direttamente sul sito online del commissariato di Polizia di Stato, che funge da ufficio gestito dalla Polizia Postale. Attraverso questo sito, è possibile inviare informazioni su reati informatici di cui siamo a conoscenza, come phishing, hacking, furto di codici bancomat e carte di credito, truffe nell'e-commerce, spamming, violazioni del diritto d'autore online e abusi legati alla telefonia.

Lo spear phishing è un vero e proprio attacco da esperti, rivolto a persone o aziende specifiche. Gli attaccanti cercano di aumentare le loro possibilità di successo facendo ricerche sugli obiettivi e scoprendo informazioni segrete. È il metodo più usato su Internet e rappresenta il 91% degli attacchi!

Prima di attaccare, fanno un sacco di ricerche sugli obiettivi. Scoprono tutto: nomi, incarichi, contatti, interessi e persino informazioni aziendali. Poi usano queste informazioni per creare un messaggio su misura, che può contenere cose come nomi, loghi o situazioni specifiche che conoscono dell'obiettivo.

L'obiettivo principale del spear phishing è fregare la gente a rivelare cose che non dovrebbe. Potrebbero chiederti le tue password, le informazioni bancarie, i segreti dell'azienda o addirittura di eseguire dei file maliziosi.

Oltre allo spear Phishing esistono anche altri tipi di phishing: Smishing e Vishing: il primo avviene attraverso SMS o il secondo attraverso le chiamate telefoniche. Gli attaccanti inviano messaggi o fanno telefonate fingendo di essere istituzioni legittime o aziende affidabili per ottenere informazioni sensibili. 

Ricapitolando, il phishing è una forma di truffa online in cui gli aggressori cercano di ingannare le persone per ottenere informazioni personali, finanziarie o altre informazioni sensibili. Questo avviene attraverso e-mail, messaggi istantanei o siti web contraffatti che sembrano autentici. È una minaccia diffusa e conosciuta, in cui gli aggressori utilizzano metodi ingannevoli per far credere alle vittime di essere in contatto con organizzazioni o individui affidabili. Una delle tattiche comuni è inviare e-mail con richieste urgenti di fornire informazioni personali o visitare siti web contraffatti che rubano le credenziali dell'utente.

Il phishing può avvenire anche tramite social media, come Facebook, dove gli aggressori creano copie false di pagine autentiche per indurre le vittime a condividere informazioni personali. Per difendersi da queste truffe, è importante seguire alcune precauzioni. Prima di cliccare su un link, bisogna controllare attentamente il mittente e l'URL del link stesso. Utilizzare connessioni sicure e verificare che i siti web utilizzino il protocollo HTTPS. Inoltre, non bisogna mai condividere dati sensibili con terze parti e fare attenzione a non fornire informazioni personali tramite e-mail.

Se si cade nella trappola del phishing, è necessario agire prontamente. Se si sono inseriti dati personali in un sito falso, bisogna contattare l'amministratore del sito originale, cambiare immediatamente la password e presentare denuncia alle autorità competenti. Segnalare gli attacchi di phishing può essere fatto attraverso il sito della Polizia Postale. Inoltre, esistono varianti del phishing come lo spear phishing, che è un attacco mirato a persone o aziende specifiche, e il smishing e il vishing, che avvengono rispettivamente tramite SMS e chiamate telefoniche per ottenere informazioni sensibili.

Prestando attenzione e adottando precauzioni, è possibile proteggersi dai tentativi di phishing e ridurre il rischio di divulgare informazioni personali a persone malintenzionate.