Come difendersi dal phishing
di Sara Manca
Cos'è il Phishing
Iniziamo col definire cosa è il phishing per poterlo riconoscere: è una forma di truffa online sempre più diffusa, che mira a ingannare gli utenti per ottenere informazioni sensibili come credenziali di accesso, numeri di carte di credito e altre informazioni personali.
Il termine "phishing" deriva dall'inglese "fishing" (pescare) e rappresenta la tecnica di "pescare" informazioni sensibili dai malcapitati. I truffatori utilizzano metodi ingannevoli per convincere le persone a fornire volontariamente i loro dati personali, spacciandosi per mittenti affidabili o conosciuti.
Come Viene Eseguito il Phishing
I truffatori utilizzano diverse tecniche per realizzare attacchi di phishing:
- Email di Phishing: La forma più comune e purtroppo anche la più fruttuosa. Gli attaccanti inviano email che sembrano provenire da mittenti legittimi come banche, servizi online, servizi di logistica o organizzazioni governative. Queste email spesso contengono link a siti web falsi, creati per somigliare in tutto e per tutto a quelli autentici, dove l'utente è indotto a inserire le proprie credenziali per rispondere ai quesiti posti nella mail truffaldina.
- Siti Web Falsi: Vengono creati siti web che imitano per contenuto e grafica quelli ufficiali. Questi siti possono essere identici agli originali, ma hanno URL leggermente diversi, spesso difficili da notare a prima vista.
- Messaggi di Testo e Telefonate: Oltre alle email, i truffatori utilizzano anche SMS (smishing, spesso utilizzando numeri fittizi che però vengono incorporati in un thread reale proprio con un mittente legittimo) e telefonate (vishing) per convincere le vittime a fornire informazioni personali, spesso incutendo timore nell’interlocutore con ipotetiche sospensioni di servizio, multe e minacce varie.
- Social Media: I truffatori possono creare profili falsi sui social media per ingannare gli utenti e ottenere informazioni personali o distribuire link malevoli. Ultimamente la tecnica più diffusa sui social è di minacciare gli utenti di sospendere gli account per violazioni di copyright, assolutamente inesistenti.
Scopo del Phishing
Come detto, l'obiettivo principale del phishing è il furto di informazioni personali, ma per cosa viene utilizzata ciascuna informazione che riescono a sottrarre?
- Rubare denaro: Utilizzando le informazioni delle carte di credito o accedendo ai conti bancari delle vittime, sfruttando le informazioni fornite proprio dallo stesso truffato.
- Rubare identità: Ottenere dati personali per commettere frodi, come aprire nuovi conti bancari o richiedere prestiti a nome della vittima.
- Distribuire malware: Indurre le vittime a scaricare un software dannoso che può rubare dati, monitorare le attività online o criptare i file per richiedere un riscatto.
- Vendita dei dati: i nostri dati sono preziosissimi e, grossi database ricchi di informazioni, vengono venduti al mercato nero a caro prezzo, permettendo ai truffatori una cospicua rendita.
Come Difendersi dal Phishing
Per proteggersi dal phishing, è importante seguire alcune pratiche di sicurezza, che non mi stanco mai di ripetere:
- Verificare le Email: Controllare attentamente l'indirizzo email del mittente. Spesso gli indirizzi dei truffatori contengono errori di ortografia o domini sospetti, che non sono i domini ufficiali del mittente (per esempio: la mail proviene da info@bnl.mail.io invece che info@bnl.it).
- Non Cliccare su Link Sospetti: Evitare di cliccare su link presenti in email o messaggi non richiesti. Passare il cursore sul link per vedere l'URL di destinazione (questo è più difficile dai dispositivi mobile, ma basterà tenere premuto a lungo per vedere il link completo e anche in questo caso valgono le regole del punto 1 circa l’affidabilità del dominio su cui si verrebbe reindirizzati dal link).
- Usare Autenticazione a Due Fattori (2FA): Abilitare la 2FA sui propri account per aggiungere un ulteriore livello di sicurezza (autenticazione a 2 fattori, solitamente SMS, app di autenticazione, mail di recupero). Così facendo se qualche malintenzionato viene in possesso delle vostre credenziali avrete modo di non farlo penetrare nei vostri account.
- Aggiornare Regolarmente il Software: Mantenere aggiornati i sistemi operativi, i browser e gli antivirus/antimalware per proteggersi dalle vulnerabilità conosciute. Questo riduce notevolmente il rischio di installare software malevoli diffusi col phishing
- Educarsi e Restare Informati: Mantenersi aggiornati sulle nuove tecniche di phishing e condividere queste informazioni con amici e familiari. Non smetterò mai di ripetere a tutte le persone a me care le 4 regole sopracitate, e invito sempre a che queste vengano diffuse da tutti.
Errori Più Comuni
Per concludere, oltre alle buone regole da seguire, voglio citare i maggiori errori da evitare. Le vittime di phishing commettono spesso alcuni errori che possono essere evitati con maggiore attenzione:
- Fidarsi Troppo: Accettare ciecamente la legittimità di email e messaggi senza verificarne l'autenticità. “Ma io sto aspettando davvero un pacco dalla GLS, per questo ho cliccato sul link”, queste sono le frasi che mi sento rispondere più spesso. I malviventi però contano proprio sulle probabilità che i milioni di indirizzi mail, o di numeri di cellulari, a cui spediscono il loro link malevolo, siano davvero in attesa di un pacco, o che abbiano un conto nella banca che imitano con la loro mail. Quindi anche se effettivamente la mail o l’SMS ha un senso bisogna sempre avere un approccio prudente, ZERO TRUST, nessuna fiducia, verificare sempre la fonte del messaggio. Se proprio il dubbio permane contattare direttamente il mittente ai contatti ufficiali presenti sui siti web ufficiali.
- Ignorare gli Avvertimenti: Molti browser e programmi di posta elettronica avvisano l'utente quando un sito o un'email sembra sospetta, ma questi avvertimenti vengono spesso ignorati. Beh, non è una buona idea. Applicare le regole citate nel paragrafo anteriore e verificare il mittente se proprio si vuole dubitare dell’avvertimento.
- Non Usare Password Sicure: Riutilizzare la stessa password su più siti, rendendo più facile per i truffatori accedere a diversi account con un'unica combinazione di credenziali. Ipotizzando di essere caduti nella trappola il malvivente avrà una combinazione della vostra mail e password, e tenterà di utilizzarla in tutti gli account più comuni. Inoltre, vedo ancora troppo spesso utilizzare come password nomi dei proprio animali, compagni, figli, date di nascita, ricorrenze, eccetera. Tutti dati facilmente desumibili dai nostri profili social. Le password sicure sono alfanumeriche, generate in modo random, senza alcun senso logico, con caratteri speciali, maiuscole e minuscole. E purtroppo non vale fare un mix degli esempi citati sopra, ci sono programmi che in pochissimi secondi provano tutte le combinazioni dei vostri dati pubblici.
Conclusione
Il phishing è una minaccia seria nel mondo digitale odierno, i danni causati ogni anno sono incalcolabili, poiché spesso le vittime non denunciano l’accaduto. Denunciare l’accaduto è invece una forma per tutelarsi da eventuali illeciti che i criminali informatici possano aver commesso coi vostri dati, oltre che fornire informazioni preziose a chi studia e combatte questo fenomeno. Conoscere le tecniche utilizzate dai truffatori e adottare misure di sicurezza appropriate può fare la differenza tra diventare una vittima o proteggere efficacemente i propri dati personali. La prudenza, l'educazione continua e l'adozione di pratiche di sicurezza informatica sono essenziali per difendersi da queste insidie.