Il phishing è un tentativo di frode attivato mediante internet che ha lo scopo di carpire informazioni personali a cui solo noi abbiamo accesso come ad esempio l’username, la password, il numero della carta di credito, il pin del telefono, le credenziali per accedere a Facebook, ecc….
Il termine, infatti, deriva dall’inglese “fishing” che tradotto in italiano vuol dire “pescare”.
Oggi un italiano su quattro ne è vittima. Esso è un vero e proprio furto di identità e può facilmente essere seguito da altri reati. Chi ha accesso al nostro conto bancario può benissimo trasferire denaro, acquistare prodotti e altro ancora.
La cosa più eclatante sta nel fatto che mettere in atto questa pratica non richiede l’uso di virus, spyware, malware o qualunque altro software malevolo e non permette nemmeno alla vittima di accorgersi del furto.
Non si accorge di nulla fino a che egli non riceve addebiti che non sa spiegarsi sul conto bancario o telefonico oppure cerca di accedere invano su Facebook con le sue credenziali che improvvisamente risultano errate.
I fautori del phishing mettono semplicemente in atto tecniche di ingegneria sociale, studiano e analizzano le abitudini delle persone fino a rilevarne informazioni che risultano utili.
Il malintenzionato inganna la vittima convincendola a concedergli tali informazioni. Spesso questo avviene tramite l’invio di messaggi via posta elettronica che sono esteticamente lontani da ogni sospetto da parte del soggetto. Esse nell’aspetto e nel contenuto si presentano come messaggi di fornitori di servizi che richiedono informazioni riservate. A volte, però, questo può avvenire anche tramite l’invio di SMS (viene chiamato smishing) o ancora attraverso semplici telefonate, a cui in tutti i casi non dobbiamo assolutamente dare credito.
Ma vediamo come praticamente si svolge questo processo che ovviamente è illegale. Il processo standard comincia con la spedizione da parte del phisher, colui che attua la truffa informatica, di un messaggio di posta elettronica ad una serie di utenti così da avere una maggiori probabilità di centrare il suo obiettivo.
Tale messaggio risulta simile a quello di una istituzione ben nota al destinatario, ad esempio la propria banca, un sito online a cui siamo iscritti, ecc…. Il messaggio riguarda sempre l’avviso di problemi che si sono verificati sul conto corrente o sul nostro account (come la scadenza di quest’ultimo) oppure ci offrono del denaro.
Sarà presenta anche un link capace, secondo il messaggio fraudolento, di risolvere il nostro problema, che poi in realtà non esiste. Il sito però non ci porterà al sito web ufficiale, bensì a un suo fac-simile che richiede tutti i dati personali dell’utente. È ovvio che tutte le informazioni vengono poi memorizzate, mentre noi ignari del tutto di quello che sta accadendo siamo convinti che stiamo semplicemente confermando le nostre informazioni, e finiscono direttamente nelle mani del phisher che potrà utilizzarle a nostro discapito e a suo piacimento.
Come difenderci da queste truffe?
Sicuramente dei metodi ci sono per non cadere così facilmente nella trappola.
Innanzitutto dobbiamo leggere bene soprattutto le immagini sopra, specie la prima. Facciamo attenzione agli errori grammaticali che istituti di credito o altri enti pubblici non possono permettersi. Dunque, siamo quasi certamente di fronte a un tentativo di phishing.
Inoltre, il truffatore maschera l’indirizzo web che costruisce per registrare i dati delle vittime in modo molto credibile. Il link che ci viene mandato ha quindi un sito a noi ben noto, ma contiene anche tanti altri strani codici numerici o altri URL che non hanno nulla a che fare con il sito stesso. Questo deve metterci subito in allarme: fare attenzione agli indirizzi che riteniamo fasulli.
Un altro pericolo è quello degli URL accorciati, che dunque non sono completi.
In più, cosa molto diffusa fra i buoni consigli di chi naviga in rete, c’è sempre quello di fare attenzione a cliccare su link sospetti che riceviamo per posta elettronica. Che si tratti di una mail della nostra banca o della compagnia telefonica o di Facebook, spesso questa ci chiede di cambiare i nostri dati personali e dobbiamo fare attenzione a cliccare su qualunque link che il messaggio contiene.
Teniamo sempre a mente, infatti, che proprio per evitare problemi di questo tipo, nessun ente pubblico manderà mai messaggi via posta elettronica o via telefono o chat in cui chiede informazioni personali. Mai bisogna cliccare su collegamenti sospetti. Mai dare le nostre informazioni al primo che le chiede.
Non diffondere informazioni private
Su quest’ultimo punto conviene fare un’ulteriore considerazione. Tutte le nostre informazioni private vanno lasciate tali. E sebbene spesso condividiamo sui social network gran parte di queste informazioni, converrebbe controllare la nostra privacy e lasciare che eventualmente solo gli amici possano visualizzare per esempio la data di nascita, il nostro nome completo oppure di familiari.
È sconsigliato condividere anche foto riguardanti la nostra casa o il luogo in cui lavoriamo o ancora l’indirizzo in cui risediamo. Non dimentichiamo che spesso si sente di casi in cui, partendo per la vacanza, ci si è trovati al ritorno la casa vuota solo perché non si poteva resistere dal dirlo a tutti i conoscenti, o meglio i cosiddetti “amici” di Facebook.
Ad ogni modo, per fortuna gli indirizzi di posta elettronica consentono lo spostamento di alcuni messaggi nella cartella spam che sono veri e propri tentativi di phishing che non vanno aperti e nemmeno conservati. Conviene eliminarli immediatamente.
Certo la nostra tranquillità può basarsi anche sull’installazione e soprattutto l’aggiornamento del nostro antivirus che può proteggerci da questi tentativi di furto.
Precauzioni per prevenire il furto dei dati
Tra le precauzioni che possiamo utilizzare c’è anche quella di non usare programmi che salvano le password nel browser, sebbene risulti utile averle sempre pronte per accedere senza doverle ogni volta riscriverle. Cambiare una volta al mese la password è un’accortezza da non dimenticare.
Gli acquisti su internet vanno fatti preferibilmente con una carta prepagata, anche comprare su internet ci può esporre al pericolo.
Se siamo dubbiosi riguardo una mail ricevuta, nulla ci vieta di accertarci della sua sicurezza chiedendo a un esperto, un nostro conoscente o informandoci meglio su internet.
Va comunque sempre denunciato qualunque furto di documenti personali o di carte di credito, non si devono portare dietro molti documenti e conviene usare il servizio di avviso SMS, riguardo i movimenti sul nostro conto bancario. Ogni documento che contenga dati sensibili va distrutto prima di essere cestinato.
Infine, se ancora non si è capito, mai inviare via posta documenti con informazioni personali. Se proprio dobbiamo farlo deve essere al 100% della sicurezza.