Menu

Phishing: cos’è e come difendersi

By Redazione Italia Cashback | Acquisti in rete

SCARICA LA NOSTRA GUIDA AL CASHBACK

Vuoi risparmiare centinaia di euro all'anno dai tuoi acquisti online?

Ago 18
Lucchetto e codice sorgente: sicurezza informatica

Possedere computer e smartphone con una connessione internet ci espone frequentemente a truffe informatiche in cui i nostri dati personali sono messi a rischio. 

In questa guida vedremo che cos'è il phishing, come si viene solitamente attaccati, come prevenire il problema e cosa fare dopo aver subito un attacco di phishing.

Vi è mai capitato di ricevere messaggi di posta elettronica in cui il vostro stesso istituto di credito vi chiede i dati personali di accesso? In questi casi non si tratta di un errore o di una richiesta strana della banca, ma di un tentativo di rubare i vostri dati di accesso.

Ogni mese si registrano in tutto il mondo decine di migliaia di attacchi criminali di questo tipo, e non sono poche le vittime che cadono nella trappola.

Grafico statistiche phishing e truffe online

Fonte: Cybersecurity360

Vediamo di dare innanzitutto una definizione al fenomeno.

Che cos’è il phishing?

Il phishing è una truffa informatica che ha lo scopo di rubare con l'inganno password, numeri di carte di credito e altre informazioni private di carattere personale o finanziario.

Non esiste una vera traduzione della parola phishing, ma la sua derivazione è chiaramente dal termine fishing, ‘pescare’. Questa pratica infatti non è altro che una manovra per far ‘abboccare’ le vittime ignare, che tramite raggiri sono portate a compiere azioni specifiche o rivelare dati a loro insaputa.
Pesci rossi che abboccano come le vittime di phishing online

I mezzi più comunemente usati per mettere in atto un tentativo di phishing sono i link e gli allegati presenti in email, messaggistica istantanea e social network.

Nella maggior parte dei casi l'attacco avviene tramite l'invio di un messaggio del malintenzionato - phisher - che copia in tutto e per tutto la forma e i colori di loghi e siti web originali, invitando l'utente ignaro di tutto a fornire ‘spontaneamente’ i propri dati personali.

Schema deceptive phishing

Fonte: Cyberlaws

Altre volte, invece, l’inganno consiste nell’indurre a cliccare link malevoli che contengono autoinstallanti per virus, che in questo modo entrano nel computer o nel telefono. Saranno in un secondo tempo questi programmi a passare dati personali ai truffatori o agli hacker, spesso senza che l’utente raggirato nemmeno se ne accorga.

Quanti tipi di phishing esistono?

Abbiamo fin qui delineato lo schema tipico di un tentativo di phishing e le sue modalità più frequenti.

Esistono tuttavia molteplici tipi di phishing che possono essere messi in atto. Vediamo i principali:

  • Deceptive phishing:

è la forma più diffusa di phishing, quella realizzata attraverso l’invio massivo e indistinto di email ad una moltitudine di potenziali vittime (spamming) con l’obiettivo di indurne il più possibile a cliccare su un link presente nel corpo del testo.

  • Malware-based phishing:

in questo caso l’attacco di phishing si sviluppa con l’esecuzione sul computer della vittima di un programma malevolo (malware). 

Questo trova accesso nel sistema grazie ad un’azione compiuta dall’utente o ad un bug del sistema di sicurezza, e una volta entrato in esecuzione comincia a carpire dati riservati, inviandoli all’hacker.

  • Spear phishing:

lo spear phishing è un tipo di attacco mirato a una persona o a una compagnia. 

A differenza dei deceptive phishing generici, in questo caso il target è preordinato e l’azione - di qualunque tipo sia - è mirata in modo specifico contro di lui.

  • Search engine phishing:

il phishing basato sui motori di ricerca si basa sulla creazione di siti web per la vendita di prodotti fittizi o l’erogazione di servizi fraudolenti, e, successivamente sulla indicizzazione e sul posizionamente dei siti stessi su Google o Bing. 

L’utente che approda su una di queste piattaforme sarà vittima di uno dei tipici meccanismi di furto di dati.

  • Tabnabbing:

il tabnabbing è un meccanismo che fa leva sull’abitudine degli utenti di tenere contemporaneamente aperte più schede (tab) su uno stesso browser durante una sessione di navigazione. 

Il phishing avviene quando un utente lascia una scheda per andare su un’altra: la prima cambia d’aspetto e richiede l’inserimento di dati personali. Quando la vittima tornerà su quella tab - in genere dopo un certo intervallo di tempo - sarà portata a considerare ‘scaduta’ la sessione e più propensa a re-inserire i propri dati.

  • Smishing:

con il termine smishing si intende quella modalità di phishing basata sull’uso di SMS. 

Questi sono strutturati per indurre la vittima a credere che si tratti di una comunicazione del proprio istituto bancario. All’interno è sempre contenuto un link da cliccare, che spalanca la porta alla solita procedura di furto dei dati.

Come riconoscere un tentativo di phishing

I creatori di phishing si sono specializzati a tal punto da ricreare perfettamente stile, immagini e colori degli istituti finanziari, o delle piattaforme, che imitano.

Solitamente gli attacchi informatici non sono personali, cioè non ci si concentrano su una sola persona, ma sono inviati contemporaneamente a migliaia di utenti, con la speranza che qualcuno cada vittima dell'inganno.

Non tutti però curano i dettagli in maniera impeccabile, tanto che spesso il tentativo di phishing può essere riconosciuto da chiunque presti attenzione o segua alcune regole base di prudenza.

Prima di andare ad analizzare questi aspetti in maniera dettagliata, vediamo alcuni casi concreti di phishing che permettono di capire meglio cosa ci si trova di fronte nella maggior parte dei casi.

Come funziona il phishing? Alcuni esempi

In genere, un tentativo di phishing fa leva su due aspetti:

  1. familiarità di loghi e simboli contenuti nei messaggi, per abbassare la soglia di guardia della vittima;

  2. carattere attrattivo (un’offerta incredibile o una vincita) o allarmante (blocco di account e conti se non si compie subito una determinata azione) del messaggio.

Il rischio di attacchi phishing può riguardare molti servizi o piattaforme che si usano quotidianamente, in particolare istituti bancari, conti online, account di social network.

Per meglio avere un’idea di come si presenta un tentativo di phishing, ecco alcuni esempi:

Esempio 1: phishing poste italiane

Poste italiane è una delle aziende più sfruttate per veicolare dei tentativi di phishing.

Nell'immagine è possibile vedere un tentativo di phishing tramite un finto portale delle Poste, davvero ben fatto e molto ingannevole per chi non presti la massima attenzione. 

L'utente è attratto dall'offerta speciale e dalla possibilità di ricevere 200 euro sulla sua prepagata Postepay (fattore che lo invoglia a cliccare Accedi al sito di Postepay).

Questo collegamento, in realtà, porterà su un pagina fraudolenta, in cui i dati personali andranno direttamente al truffatore.

Truffa Postepay

Esempio 2: phishing Facebook

Tra i vari phishing collegati a Facebook, uno dei sistemi più comuni è quello di creare una schermata di login identica all’originale, per indurre l’utente distratto a inserire i propri dati. 

In realtà l’url del sito non è quella originale di Facebook, e da questo si può facilmente capire di essere vittime di un’azione fraudolenta.

Screenshot phishing su Facebook

Fonte: Hackers Tribe

Esempio 3: phishing Apple

Con Apple si presentano spesso situazioni analoghe a quella vista per Facebook, con finte schermate di login per carpire i dati dell’Apple ID. 

Oppure, come nell’immagine qui sotto, email che invitano a verificare o aggiornare i propri dati, cliccando su un link malevolo (in questo caso, Update Now >)
Screenshot phishing su Apple

Esempio 4: phishing Amazon

Stessi rischi con Amazon: è molto frequente il tentativo di realizzare deceptive phishing tramite email come questa (che, al solito, invitano a cliccare un link).
Screenshot phishing Amazon

Esempio 5: phishing Whatsapp

Whatsapp (come tutti i sistemi di instant messaging) è un veicolo particolarmente potente per tentativi di phishing ‘virale’. Spesso questi vengono associati a brand particolarmente famosi ed affidabili, con il pretesto di offerte allettanti.

Screenshot phishing Whatsapp

Fonte: Leggo

Come riconoscere il phishing?

Non sapere che cos'è il phishing, non riuscire a riconoscerlo e cadere nel suo inganno, comporta un rischio enorme. 

Innanzitutto, bisogna tenere presente che gli istituti bancari, Poste Italiane, gli operatori telefonici quali Tim, Vodafone, Wind e Tre, e tutte le aziende simili, non chiedono mai dati sensibili con messaggi di tal genere.

Non vi arriveranno mai, in poche parole, messaggi di posta autentici in cui vengono regalati soldi, fatte offerte mirabolanti, o assegnati premi a un fortunato estratto tra migliaia di persone.

Attenzione a come sono formulati da un punto di vista ortografico e grammaticale i messaggi: molto spesso contengono errori e strafalcioni lampanti.

Confrontate l’indirizzo ufficiale dell’istituto bancario o dell’azienda di turno con quello che compare all’interno della email perché saranno immediatamente evidenti delle difformità.

Riponete fiducia nel vostro server di posta elettronica: quando sposta messaggi nella cartella “posta indesiderata”, ci sono buone possibilità che sia un tentativo di phishing. Non lasciatevi tentare dalla curiosità di aprire immagini o link.

A questo proposito, date preferenza a Provider di posta elettronica particolarmente affidabili, come Gmail o Aruba.

Sui sistemi di messaggistica istantanea e sui social network, diffidate sempre delle catene e dei messaggi inoltrati. Se contengono file o link, sono spesso tentativi di phishing resi ancora più pericolosi dalla viralità della loro diffusione.

Come difendersi dal phishing quando si ricevono email e messaggi?

Come abbiamo detto, i servizi di posta elettronica riescono a bloccare la maggior parte dei messaggi di posta elettronica indesiderati o i sospetti tentativi di phishing. 

Questo significa che, anche se non riescono a bloccare il 100% dei messaggi sospetti, bisognerà fare grande affidamento sui filtri anti-spam del proprio provider, senza cedere alla curiosità di andare ad aprire lo stesso le email flaggate come spam.

Inoltre:

  1. Se doveste comunque ricevere una email contenente un'offerta speciale o una richiesta di dati, non cliccate mai su nessun link e non rispondete alla email stessa. Semplicemente cestinate il messaggio (o meglio ancora, se sospettate che sia fraudolento, non apritelo nemmeno).

  1. Evitate di memorizzare sul browser qualsiasi informazione personale delicata, ma invece digitatela ogni volta al momento opportuno.

  1. Non aprite MAI allegati di un messaggio di posta o di messaggistica istantanea se non siete certi del mittente, o se sospettate che un mittente noto abbia inoltrato senza volerlo una catena di messaggi contenenti tentativi di phishing.

  1. Assicuratevi che il vostro antivirus sia funzionante e sempre aggiornato: potrà evitarvi grossi problemi nel caso in cui accidentalmente si clicchi su pulsanti e link nelle email fraudolente, ripulendo il vostro computer da eventuali virus.

Tra i migliori e più affidabili antivirus per il 2019 segnaliamo:

SUGGERIMENTO: per risparmiare su un piano PRO dell’antivirus, è consigliabile sottoscrivere l’abbonamento tramite un sito di cashback. Per farvi un esempio, su BeRuby, potete ottenere un riaccredito fino al 28% di quanto spendete per Norton, Avast e Avira.
Cashback antivirus a pagamento

Infine, anche se avete seguito ognuno di questi step e siete sempre stati molto attenti, verificate periodicamente il vostro estratto conto e la correttezza di tutti i movimenti. 

Allo stesso tempo, mantenete sempre attivo un sistema di notifiche per ogni operazione avvenuta o per ogni accesso fatto ai vostri account.

Come difendersi dal phishing quando si acquista online?

Con l’espansione degli acquisti online, spesso internazionali, si diffonde sempre di più la ‘spersonalizzazione’ del rapporto con il venditore e l’aumento vertiginoso delle occasioni di truffe online di varie genere.

Il 2020, tuttavia, non è il 2010: i sistemi di sicurezza informatica sono molto più evoluti, e alcune regole di condotta base quando comprate online possono mettervi al riparo da ogni tentativo di phishing.

Ricordatevi, innanzitutto, di acquistare sempre su siti sicuri, conosciuti, attivi da molto tempo, e confermati dal parere di molti utenti soddisfatti.

Se utilizzate il cashback quando comprate online, vi basterà scegliere un sito tra i più affidabili in Italia per creare il vostro account: i siti partner che troverete sulla piattaforma sono tutti sicuri e verificati dal servizio stesso di cashback.
Lucchetto, carte di credito e tastiera di un computer

Alcune ulteriori buone abitudini per stare tranquilli quando si fa shopping online, specialmente al momento della transazione finale, sono:

1. Usare sistemi di pagamento con garanzie antifrode

Quando si paga online, maggiori sono le tutele previste per il consumatore, migliore è da considerare il metodo di pagamento.

Le carte prepagate sono erroneamente considerate le più sicure, solo perchè non danno accesso ai dati del conto corrente. 

Esse tuttavia non godono di quasi nessuna tutela anti-frode o anti-phishing, e per usarle in modo relativamente sicuro l’unica soluzione è caricarle solo dell'importo necessario ad eseguire la transazione.

I sistemi di pagamento migliori per essere tutelati da frodi e phishing sono quelli che da un lato mettono uno schermo tra i propri dati e il destinatario del pagamento, e dall’altro prevedono un sistema risarcitorio, almeno parziale, per chi venisse raggirato. Il miglior sistema di questo tipo è Paypal.

2. Non utilizzare il Wi-Fi pubblico quando si acquista

Se state concludendo un acquisto mentre siete in viaggio, è sempre meglio utilizzare la connessione del vostro operatore di rete piuttosto che un servizio Wi-Fi pubblico.

La maggiore comodità offerta da una rapida connessione Wi-Fi pubblica viene ampiamente ridimensionata dai numerosi rischi di hacking associati. Connettersi ad una rete condivisa e fuori dal vostro controllo vi espone infatti a numerose vulnerabilità.

Se proprio non potete fare a meno del Wi-Fi, assicuratevi che il sito su cui acquistate abbia la dicitura “https” menzionata all’interno dell’URL.

Screenshot url che comincia con lucchetto verde e https://

3. Controllare online prodotti e siti

Controllate sempre il mittente della email (verificate che ci sia coerenza con i dati di contatto contenuti nel sito dove state acquistando)i.

Occhio alla merce contraffatta, attenetevi sempre alla regola “se è troppo bello per essere vero probabilmente non lo è…”, e cercate di concludere i vostri affari sempre su siti conosciuti, meglio se di marchi e aziende affermate.

Se avete dei dubbi su un prodotto, provate a controllare se esiste altrove sul web e a che prezzo.

In tutti i casi, cercate su Google recensioni sui prodotti che state acquistando o, meglio ancora, sui siti in cui dovete fare un pagamento.

4. Gestire le password in sicurezza

Per ogni sito che visitate, utilizzate una password diversa, alfanumerica e di almeno 8 caratteri, con un mix di lettere maiuscole e minuscole. 

Se avete una sola password e sfortunatamente qualcuno riesce ad hackerarla, infatti, questi avrà accesso a tutti i vostri account. 

Gestire password diverse per ogni piattaforma può essere molto complesso. Evitate di lasciare appunti (fisici o digitali) che potrebbero essere trovati dagli autori dei vari tipi di phishing, e invece usate app o software (spesso gratuiti) per memorizzare le password in sicurezza.

Il migliore gestionale attualmente utilizzabile è Dashlane (potete scoprire le sue funzionalità qui).

5. Disconnettersi sempre dai propri profili

Ricordate di disconnettervi sempre dai vostri account ogniqualvolta utilizzate un computer o un dispositivo condivisi.

Che si tratti del profilo su un social network, dell’account su un e-commerce, o, peggio ancora di quello sull’home banking, non disconnettersi su device utilizzabili da altri è come lasciare la porta di casa aperta.

Cosa fare dopo essere stati vittime di phishing?

Se si è stati vittime di un tentativo di phishing, le operazioni da compiere dipendono molto da quali dati vi sono stati rubati (accesso al conto bancario, credenziali di un social network, ecc.) e in che modo (con un link ingannevole, con un malware sul computer, ecc.).

Non c’è quindi una procedura universale valida per tutte le eventualità, ma alcune operazioni sono sempre altamente consigliabili:

  • cercate immediatamente i numeri per le emergenze se si tratta di conto bancario online o la sezione recupera il tuo account su un social network (potrebbero essere chiamati in vari modi, ma devono esserci per forza);
  • se riuscite ancora ad accedere al vostro conto o al vostro account, re-impostate immediatamente tutte le password (e anche tutte quelle simili che avete su altre piattaforme);
  • fate fare una scansione completa del computer all’antivirus;
  • cercate su forum specializzati o sui motori di ricerca casi simili al vostro;
  • contattate un’associazione dei consumatori come Altroconsumo, che potrebbe fornire consulenza e assistenza (specialmente per rivalervi successivamente e limitare i danni).

Tutte le piattaforme più importanti al mondo - specialmente in ambito bancario - cercano di fornire supporto immediato ai propri utenti in caso di frodi.

Per eliminare il phishing e arginare le conseguenze dell’azione fraudolenta, quindi, fate sempre primariamente riferimento ai sistemi che gli operatori hanno già previsto per queste eventualità.

Conclusioni

In questo articolo abbiamo definito il concetto di phishing e passato in rassegna le sue principali e più diffuse tipologie. Abbiamo poi fornito un ‘decalogo’ di best practice da seguire nei momenti in cui si è più esposti ai tentativi di frode informatica: la ricezione di email / messaggi e gli acquisti online.

La regola d’oro che meglio riassume il modo migliore per sventare un tentativo di phishing è: avere freddezza, essere metodici, investire il tempo necessario per prendere ogni precauzione.

E quando avete un dubbio, o qualcosa ‘non vi torna’, cercate su Google: spesso - per non dire sempre - troverete qualcuno che ci è già passato e può rispondere ai vostri dubbi evitandovi pericolosi passi falsi.

In particolare, potete copiare e incollare nella barra di ricerca un indirizzo email, il contenuto sospetto di un messaggio (o almeno la sua prima frase), un messaggio di errore che visualizzate sul computer o sul telefono, e così via…

...sarete sorpresi (e sollevati) di vedere come quell’anomalia sia già capitata a molti altri, e come sia immediato trovare tutorial o raccomandazioni sul da farsi.

Nel caso non trovaste nulla, le probabilità che non si tratti di phishing sono certamente più alte di quelle che siate voi la prima vittima!

Avete già avuto (dis)avventure con le truffe online? Se volete condividere la vostra esperienza con i fenomeni di phishing o se vi interessa segnalare qualche nuovo raggiro informatico che avete scoperto, usate i commenti qui sotto!

About the Author

La Redazione di Italia Cashback eredita l'esperienza di 8 anni della piattaforma Queexo.com e la riversa in un nuovo contesto più globale, smart e improntato al marketing strategico (che rappresenta la principale area di expertise del gruppo).

>
Scroll Up