Cos’è il phishing e come difendersi

È importante riuscire a riconoscere il phishing. Solo e soltanto se lo si conosce si può evitare di caderne vittima. Ecco alcuni accorgimenti

Pubblicato: 10 Marzo 2021 18:40Aggiornato: 4 Marzo 2024 16:44

Foto di Pierpaolo Molinengo

Pierpaolo Molinengo

Giornalista economico-finanziario

Giornalista specializzato in fisco, tasse ed economia. Muove i primi passi nel mondo immobiliare, nel occupandosi di norme e tributi, per poi appassionarsi di fisco, diritto, economia e finanza.

Il Phishing viene definito da Wordreference, uno dei dizionari online più affidabili, come internet fraud, ossia truffa su internet. Si tratta di una particolare forma di truffa attiva in rete che avviene ingannando l’utente. Può avvenire tramite l’invio di mail, oppure tramite SMS: se si clicca dove richiesto, si raggiunge la piattaforma di destinazione creata ad hoc dove si richiede l’inserimento di dati sensibili della carta di credito, o i dati per accedere al proprio account social o i dati abituali che si inseriscono da app magari per accedere al proprio home banking.

La scusa sembrerebbe plausibile perché si maschera dietro la richiesta elaborata da una realtà assolutamente familiare, spesso accompagnata da una nota d’urgenza o che comunque sembra venir incontro alle esigenze dell’utente. Ovviamente, gli hacker devono poter sollecitare l’inserimento manuale di dati, fanno quindi spesso leva sulla scusa del reset della password o la necessità di aggiornamento per non andar incontro a problemi che ne potrebbero scaturire e via dicendo.

I vari tipi di phishing: informatico, social e telefonico

Esistono varie tipologie di phishing che si sono adattate sempre di più con il crescere della presenza online. Il phishing informatico è il più emblematico e frequente. Sia attraverso una semplice email che sotto forma di messaggio spam, puoi ricevere comunicazioni che si presentano con il nome di brand famosi e consolidati, e-commerce, servizi online, call center, banche o perfino enti pubblici (come Poste Italiane, Agenzia delle Entrate) per poter estrapolare i tuoi dati sensibili.

Questa classica dinamica è affiancata da un’altra meno conosciuta, lo spear phishing, che avviene tramite l’invio di email nocive ad una determinata realtà o al singolo individuo con il fine di accedere ad informazioni riservate ( o perfino segrete) di tipo finanziario, statale o militare.

Il phishing tramite i social mostra la capacità di adattamento della criminalità nei confronti dell’utenza. Dato il grande utilizzo dei canali social, si sono inseriti nel quadro allettante di estrapolazione di dati a cui non poter rinunciare. Qui il phishing utilizza come tattica finti buoni sconto per il supermercato, in molti casi abbonamenti convenienti per consentire l’utilizzo della stessa applicazione di WhatsApp, perché da lì a poco notificano che sarà obbligatorio un pagamento annuale, o sfruttare servizi premium.

Certamente il canale WhatsApp, ma anche Facebook, hanno una maggior facilità di attecchire in quanto utilizzati più spesso rispetto alla mail; le notifiche arrivano subito, si visualizza dando così la possibilità di essere truffato e magari inviando il contenuto ad altri conoscenti avviando inconsapevolmente un processo a catena. Prima di aprire messaggi sospetti che parlano di cambiamenti o pagamenti in arrivo, sempre meglio non cliccare, chiudere e aprire una nuova finestra sul motore di ricerca per verificare l’autenticità della notizia o meno.

Infine, il phishing telefonico o via SMS: se si viene contattati tramite chiamata o SMS da numeri sconosciuti che ti contattano a nome di un’azienda e si riceve la richiesta di dati, si può trattare di phishing telefonico. A tale scopo, esistono delle piattaforme che accolgono le testimonianze degli utenti che ricevono messaggi o chiamate sospette e forniscono un feedback sul numero in questione. Si consiglia, al minimo sospetto, di fare il copia e incolla del numero in entrata sul motore di ricerca per capire se si tratta di una frode, in caso in cui il dubbio perduri, sarà necessario agganciare e chiamare la realtà di riferimento con cui il chiamante si è presentato per capire se si tratta di un falso.

Phishing: come difendersi

In caso di phishing, come difendersi? Le dinamiche tramite cui attirare l‘attenzione dell’utente si aggiornano e si affinano sempre più, per questo è bene conoscere le modalità più frequenti di attacco. Tra i casi più comuni c’è la richiesta di aprire un link per avere accesso ad un regalo o ad una vincita sorprendente. Nessuno regala nulla, e se in caso avessi partecipato ad un’estrazione, molto probabilmente non ti arriverà una comunicazione dal nulla, sarai tu eventualmente ad inserire dei dati e poi in caso a ricervere aggiornamenti. Spesso, data la moda imperante di oggi, il phishing si cela dietro regali di IPhone o dispositivi elettronici allettanti accompagnati da diciture che mettono in risalto l’unicità dell’opportunità.

  • Attenzione agli errori di ortografia: può capitare anche ad una realtà web consolidata una svista, ma quando si tratta di errori evidenti e segni di punteggiatura assai desueti (come tanti punti esclamativi o interrogativi) o perfino il nome del destinatario storpiato, no: sono casi anche mal riusciti ancora una volta di frode online.
  • Richieste di aggiornamento e carattere d’urgenza: dominio in scadenza e rinnovo di un abbonamento, queste le principali scuse che spopolano per ingannare. Spesso, tali affermazioni vanno di pari passo con una necessità impellente di inserimento dati, non a caso: mettere fretta presuppone agire senza riflettere ed essere così più vulnerabili. Controlla sempre sul sito ufficiale in questione se devi o meno procedere con rinnovi, aggiornamenti o eventuali variazioni.
  • Occhio agli allegati: se noti allegati con estensione dei file inusuale, bisogna prestare molta attenzione. Si potrebbe infatti trattare, oltre del classico phishing, di virus.

Consigli per evitare il phishing

Non pensare che siano vulnerabili solo piattaforme non consolidate in termini di sicurezza. Basti sapere che lo stesso Google ha progettato un sistema di sicurezza,  Google Safe Browsing, che analizza le pagine web per individuare eventuali elementi nocivi; in tal modo ogni URL infetto viene archiviato nella banca dati di Google entrando così in una sorta di blacklist virtualmente inaccessibile.

Non è però sufficiente tale sistema, è quindi bene tenere a mente accorgimenti che possano contribuire alla navigazione in sicurezza. Anzitutto, attiva i filtri antispam sulla tua casella di posta elettronica.

  • Verifica il dominio del mittente: qualsiasi realtà sul web utilizzerà il proprio dominio per contattarti, quindi controlla che corrisponda a quello ufficiale, nonostante questa prassi debba essere integrata con le altre, perché sola potrebbe non bastare.
  • Rifletti prima di cliccare: non c’è nessun problema che non possa essere risolto con qualche minuto in più, sarò un buon investimento di tempo che ti farà risparmiare dopo. Anche se hai il minimo dubbio, accoglilo e fai una ricerca prima di fare il fatidico click.
  • Crea più indirizzi mail: in caso in cui una piattaforma non ti ispiri grande sicurezza, il primo consiglio è ovviamente quello di evitare la navigazione; ma se proprio non puoi rinunciarci, allora crea un altro indirizzo mail per non contaminare quello originale ricco di informazioni personali.

Il phishing e le conseguenze: cosa fare dopo un attacco

Se è troppo tardi per pensare al come evitare il problema e pensi di esserne stato vittima, allora sarà bene agire di conseguenza iniziando dal cambiare la password: a prescindere dall’attacco, aggiornare la password di tanto in tanto rappresenta un valido aiuto per contrastare l’insorgere di problemi. Procedi in entrambi i casi con l’inserimento di una nuova, non facilmente replicabile.

Informa chi di dovere: una volta accertato si tratta di phishing, contatta la Polizia postale e l’ente (banca o altro istituto) da cui è partito il tutto per metterli al corrente a dal loro gli strumenti adatti con cui contrastare il fenomeno dilagante.