Phishing: 3 modi per accorgersene e 3 trucchi per difendersi

Questa volta gli esperti del phishing si sono finti agenti del fisco, per cercare di rubare dati sensibili agli ignari utenti. Eco come fare per non passare da possibile vittima a collaboratore nelle indagini.

Image

Nonostante tutti sappiano che navigare nel web è qualcosa che va preso con cautela, sono migliaia ogni mese gli utenti che cadono nella rete di truffatori che agiscono dietro l’anonimato garantito da una tastiera del computer.

L’ultimo episodio in ordine di tempo è quello che è stato segnalato da Agenzia delle Entrate che chiedeva il versamento di imposte di bollo per dichiarazioni IVA errate. In realtà si tratta di un fenomeno di phishing: una specie di esca che ha lo scopo di attirare il numero maggiore di potenziali vittime e poi contando sull’inesperienza, la fretta, o la distrazione approfittarne per rubare loro dati sensibili da utilizzare per mettere in piedi altre frodi.

Si tratta di un fenomeno in continua evoluzione e difficilmente arginabile allo fonte, tanto è vero che la polizia postale è in costante allarme. Utilizzando un po’ di attenzione e una sana diffidenza, però è possibile evitare di finire in questa trappola.

Se poi le cose vanno a favore del truffatore rimane sempre la possibilità di arginare i danni e di presentare una denuncia che difficilmente consentirà di catturare i colpevoli, ma che quantomeno eviterà che siano coinvolte altre vittime.

Cosa è il phishing

Ce lo dice il sito del commissariato della polizia online che lo definisce come

una truffa che utilizza messaggi o email ingannevoli che provengono da siti che necessitano di utilizzare delle credenziali per accedere. Con quelle si chiede di fornire i propri dati personali, con la scusa che ci siano degli errori del sistema.

Per mettere in piedi questo tipo di truffa vengono utilizzate oltre alla posta elettronica anche i sistemi di messaggistica, WhatsApp, o i social network. L’intestazione o l’indirizzo a cui fanno riferimento richiama sempre un istituto prestigioso e serio esistente nella realtà, ma quello è sempre del tutto estraneo alla frode.

In genere veniamo rimandati a un link, che in realtà è falso, nel quale troviamo una tabella da completare inserendo le nostre password, dati personali o bancari, col pretesto che c’è la necessità di confermarle altrimenti il nostro account verrà cancellato.

Spesso ci arriva più di una comunicazione, e man mano che passa il tempo diventano più urgenti segnalando anche una data entro la quale dovremo compiere l’operazione, passata la quale perderemo tutti i nostri diritti verso quel sito.

Il phishing è travestito da sito serio

Chi mette in piedi il phishing fa sempre riferimento a siti o società serie che hanno milioni di utenti. I principi di questa truffa infatti è quello che utilizza il pescatore quando va a pesca. Si sceglie uno specchio d’acqua dove ci siano molti pesci. Si sceglie una esca, per esempio la email di una banca, sapendo che non a tutti interesserà, perché per esempio non sono clienti di quell’istituto. Molti però lo sono e la apriranno.

Tra questi ci saranno quelli che insospettiti, eviteranno di abboccare all’amo e se ne andranno, cestinando la comunicazione dopo averla letta. Un certo numero però aderiranno alle richieste finendo in padella.

Gli istituti che sono più spesso utilizzati come specchietto delle allodole per questo tipo di frode sono le banche, Poste italiane, ma anche istituti pubblici come l’INPS, o Agenzia delle Entrate. Ricordiamo che non hanno nulla a che fare con questo tipo di operazione, ma sono delle vittime, perché la loro credibilità viene messa in discussione.

Quali sono gli scopi del phishing

Gli obiettivi che ha chi mette in piedi il phishing sono principalmente quelli di rubare dati. Questi dati, poi saranno utilizzati per organizzare truffe di tipo diverso. Potrebbero per esempio interagire con i nostri contatti chiedendo denaro a nostro nome, oppure con i dati dei nostri documenti tentare truffe allo stato iniziando le pratiche per avere sovvenzioni o bonus.

Lo scopo più diffuso comunque è quello di svuotarci il conto corrente o di prosciugarci carta di credito o bancomat. In quel caso vengono fatti nel minor tempo possibile tutti i prelievi consentivi, prima che ce ne accorgiamo e lo blocchiamo.

In casi di questo tipo la tempestività è più che mai importante per ridurre al minimo i danni, difficilmente i truffatori saranno scoperti e la nostra banca se abbiamo tentennato nel fare la denuncia potrebbe non risarcirsi.

Possibile anche che cliccare sul link o aprire un allegato sia solo il modo per consentire a un virus di accedere al nostro computer o smartphone.

I più diffusi virus si trovano nei file con estensione exe, ma spesso si trovano anche con quelli in formato doc o PDF. Scopo di questi intrusi è quello di raccogliere le nostre informazioni finanziarie, oppure i nostri contatti, che poi diventeranno potenziali vittime. 

Quali sono i campanelli d’allarme che ci annunciano il phishing

Il Garante della Privacy ha predisposto una guida per aiutare gi utenti a difendersi dal phishing: i consigli sono di

prestare attenzione all’indirizzo da cui proviene la email, verificare che non ci siano errori di grammatica o sintassi e ricordarsi che banche e altri istituti non chiedono mai di inviare dati sensibili con email o peggio attraverso i social, e i messaggi non sono mai intimidatori.

Chi ci invia la email potrà utilizzare un indirizzo simile, ma mai del tutto uguale a quelli reali, lo stesso vale per la grafica o per il logo che campeggia in alto.

Altro segnale da cercare è il modo in cui è stato scritto il messaggio che ci arriva. Spesso questo tipo di truffe sono messe in piede da stranieri, che li scrivono nella loro lingua madre e poi si affidano a un correttore automatico per renderle nella lingua del paese dove intendono operare.

Come è noto i traduttori automatici in genere non brillano per precisione. Probabile quindi che il testo finale abbia degli errori sia di ortografia che di grammatica. La nostra banca non ci invierà mai una comunicazione scritta in modo scorretto, quindi anche se per tutto il resto sembra credibile, cestiniamola senza remore. 

Negli ultimi tempi, i truffatori si sono evoluti e spesso i testi sono diventati perfetti dal punto di visto lessicale e della sintassi. Potrebbe però farci insospettire il tono usato. Teniamo conto che qui si cerca di spaventarci, di farci fretta, e di metterci ansia così che non ragioniamo in modo razionale. Un testo che sia vagamente minaccioso, che ci metta di fronte a scadenze del tipo: ora a mai più, deve sempre essere guardato con sospetto.

Come difendersi dal phishing

Vediamo adesso quali sono le strategie semplici e alla porta di tutti per difendersi dal phishing e dalle numerose truffe simili che viaggiano sul web. La prima regola è che le banche non chiedono mai password o PIN, come sarà capitato a molti anche se è necessario digitarle allo sportello, davanti a un addetto, questo si volta dall’altra parte per non vedere. In secondo luogo i dati personali difficilmente vengono chiesti con une email, che non garantiscono una sicurezza sufficiente.

In caso di dubbio rivolgersi allo sportelo, oppure telefonare, ma utilizzando i numeri che ci sono stati dati al momento dell’apertura del conto, non quelli contenuti nella email, perché a quelli probabilmente risponderanno i truffatori.

In alternativa se ci sembra credibile, invece di cliccare sul link che ci hanno fornito, digitiamo l’indirizzo della banca e accediamo alla nostra area riservata da quello.

Un metodo semplice per essere sicuri di trovarci sul sito ufficiale è quello di verificare che l’indirizzo URL, che si trova nella finestrella in alto, sia quello ufficiale.

Se scegliamo di fidarci dei link contenuti nei messaggi che riceviamo, prima di cliccarci sopra posizioniamo il puntatore, del mouse sul link, in basso a sinistra apparirà l’indirizzo completo, che potremo così verificare.

Prima di accedere a un sito dove si debbano inserire dati personali verifichiamo sempre che l’invio dei dati sia fatto in modo cifrato. Teniamo conto, poi che come minimo è necessario identificarsi inserendo una password.

Ultima cautela, da adottare sempre, anche prima di essere raggiunti da messaggi sospetti è quella di dotarsi di un buon antivirus. Molti gestori di posta elettronica mettono a disposizione dell’utenza anche un servizio antispam e anti phishing, che indirizzano direttamente nelle spam tutti le email sospette. Bisogna però accertarsi che le protezioni siano attivate.

Altra cautela è quella di non tenere in memoria le password e i dati di accesso nel proprio browser, e impostare delle password complesse. Sarebbe inoltre meglio non utilizzare le stesse credenziali di accesso per tutti i siti che ce le richiedono, perché in questo modo evitiamo di dare libero accesso a tutta la nostra vita a chi dovesse entrare in contatto con una delle nostre identità digitali.

Cosa faccio se mi accorgo di essere stato vittima di phishing

Ricordiamo che essere vittima di una truffa o di phishing è qualcosa di molto più comune di quanto si creda. Non è colpa della vittima, che però appena si accorge di essere stata frodata ha il dovere di reagire in fretta e con decisone.

Il primo passo da fare è quello di segnalare quanto accaduto alla banca o al sito usato per ingannarla. Attenzione a utilizzare i dati ufficiali, mai il numero di telefono o gli indirizzai che si trovano nella email ricevuta, perché quelli sono falsi.

Ma prima di fare quello cambiare, se è ancora possibile, la password così da impedire ulteriori accessi. Possibile, in realtà che a farlo abbia già provveduto il nostro truffatore, e in quel caso solo l’amministratore potrà consentirci il normale accesso alla nostra area personale.

Come denunciare il phishing

Il phishing, come tutte le truffe, deve sempre essere denunciato, anche se riteniamo che il danno sia minimo in rapporto al fastidio di fare una segnalazione.

Si tratta dell’unico modo per fermare la proliferazione di questo tipo di truffa.

Gli autori difficilmente vengono presi, perché spesso si trovano all’estero e fanno parte di reti ben organizzate, ma quantomeno ci sarà la possibilità di avvisare altri utenti per evitare che siano ingannati e i siti che usano potranno essere oscurati.

Le segnalazioni vanno fatte al sito della polizia online o dei carabinieri, oppure rivolgendosi al comando più vicino.