Sempre più frequentemente sentiamo parlare di “phishing”, ossia, di frodi online. Di che cosa si tratta, nello specifico? Ma soprattutto, è possibile difendersi?

Il phishing è un fenomeno che è andato aumentando, soprattutto nell’ultimo periodo. I casi di phishing sono cresciuti in modo esponenziale dal 2020 in poi, cioè, durante la pandemia. La situazione difficile e l’ansia che la pandemia ha generato, oltre che la disorganizzazione e l’imprevedibilità di quanto stava accadendo, hanno reso gli utenti di Internet “vittime” più fragili ed esposte.

Scopriamo insieme il fenomeno del phishing, le sue diverse modalità e, soprattutto, come proteggersi, all’intero di questo articolo.

Phishing: che cos’è?

Il termine “phishing” viene da fishing”, cioè “pesca” in inglese. La parola "phishing" è traducibile con il termine italiano “truffa”. Si tratta, più precisamente, di una truffa che avviene online e che mira a cogliere gli utenti di sorpresa, ingannandoli e sottraendo loro dati personali.

Clusit, l'Associazione italiana per la Sicurezza Informatica, ha affermato nel proprio rapporto annuale che nel corso del 2020 gli attacchi di cybercrime a livello globale sono aumentati circa del 12% rispetto all’anno precedente. Complice la pandemia e la situazione di disagio che ne è derivata, i criminali hanno sfruttato moltissimo i Malware

In questo video YouTube, Andrea Bentivegna ci spiega che cosa sono nello specifico i Malware e come è possibile proteggersi.

Phishing tramite posta elettronica o SMS

La tipologia principale e più diffusa di phishing è quella che avviene tramite posta elettronica. L’utente riceve una e-mail che, apparentemente, sembrerebbe provenire da un determinato fornitore di servizi di cui l’utente si avvale. Il più delle volte si tratta di istituti finanziari, come banche o società che emettono carte di credito.

Il messaggio è realistico sia nel contenuto che nell’aspetto (cioè nella forma grafica), e contiene una richiesta di informazioni private dell'utente. Ad esempio, si richiede il numero della carta di credito, o la password di accesso ad un servizio. Il messaggio è reso ancora più credibile dalla presenza, al suo interno, di link che rimandano ad un sito che riproduce alla perfezione il sito ufficiale della banca o del servizio in questione.

Di solito è proprio all’interno di questo link che imita il sito ufficiale che l’utente è invitato ad inserire i propri dati. L’utente, rassicurato dal fatto di trovarsi sul sito ufficiale (e non sospettando minimamente che si tratta solo di una sua imitazione) inserisce così le proprie credenziali, che finiscono in questo modo nelle mani dei malintenzionati.

La stessa cosa può avvenire tramite SMS e, in questo caso, si parla di “smishing”. Il “trucco” è sempre lo stesso: l’utente è portato a credere di star comunicando con un canale ufficiale (ad esempio, con la propria banca).

In questo video l’Associazione Culturale Maggiolina spiega che cos’è il phishing e come si può evitare.

 

Difendersi dal phishing facendo attenzione ai dettagli

La domanda è inevitabile: se queste truffe sono studiate così bene, esiste un modo per difendersi? Assolutamente sì. Per fortuna è possibile riconoscere le mail o gli SMS di phishing ed evitare di cedere i propri dati personali. C’è comunque da dire che si tratta di truffe organizzate davvero bene, e quindi per riconoscerle e smascherarle è fondamentale conoscere il fenomeno e prestare attenzione soprattutto ai dettagli.

Sono infatti proprio i dettagli che permettono di distinguere le mail o gli SMS ufficiali da quelle di phishing. Per questo è bene concentrarsi sulla prevenzione.

Innanzitutto, è bene tenere a mente che nessuna banca chiederebbe mai di comunicare i propri dati personali tramite e-mail o tramite SMS. Infatti, gli Istituti di credito o le società che emettono Carte di Credito contattano i propri clienti in modo diretto (ad esempio, con una telefonata) per quanto riguarda tutte le operazioni che includono credenziali, password, pin e qualsiasi tipo di informazione riservata. È purtroppo vero che esistono anche le frodi telefoniche, ma vedremo più avanti come difendersi anche da queste.

Tono intimidatorio e invito ad agire in fretta nelle mail di phishing

Inoltre, presta attenzione al seguente dettaglio che potrebbe passare inosservato ad una prima lettura di una mail o di un SMS. Tutte le mail e gli SMS che tentano di concludere una truffa hanno un tono che tende a incutere ansia e a far agire l’utente in modo rapido e veloce. Si tratta di messaggi del tipo: 

“Gentile cliente, ti segnaliamo che per un problema con il tuo conto in banca devi fornisci al più presto i tuoi dati cliccando sul link seguente. Se non completi l’operazione nel giro di 24 ore saremo costretti a bloccare temporaneamente il tuo conto”. 

Come avrai sicuramente notato, il tono del messaggio incoraggia ad agire in breve tempo, e, soprattutto, getta l’utente nel panico. Immagina: sei al lavoro, o in università, o magari in vacanza, e ti arriva un messaggio di questo tipo da quella che credi essere la tua banca. Chiaramente entri in panico perché temi che il tuo conto possa essere bloccato o compromesso da un momento all’altro, e la tua prima reazione (se non hai mai sentito parlare di phishing) sarà quella di cliccare sul link e fornire tutti i tuoi dati per risolvere immediatamente il problema.

Si tratta chiaramente di una strategia che fa leva sulle emozioni e sulle paure dell’utente. Quasi tutti i messaggi phishing hanno un tono intimidatorio: di solito minacciano di bloccare il conto, sospendere l’account o azioni di questo tipo. L’essere umano è sicuramente razionale, ma anche estremamente emotivo. Chi si occupa di truffe sa bene che stimolare la parte emotiva permette di “addormentare” temporaneamente quella razionale, impedendo così all’utente non informato sul phishing di realizzare nell’immediato che sta cedendo i propri dati personali.

Un altro dettaglio che potrebbe farti capire che si tratta di phishing è il fatto che la mail o l’SMS che ricevi non è personalizzato. Si tratta infatti di messaggi generici (questo perché vengono inviati in blocco) e anche le motivazioni per le quali ti vengono richiesti i dati sono generiche, come “scadenze” o non meglio specificati “problemi tecnici”.

Phishing: prevenire e rimediare in caso di truffa

Per difenderti è inoltre fondamentale non cliccare mai su nessun link. Clicca solo su link verificati (cioè quelli che iniziano con “https” e non solo “http” e che presentano sulla barra di ricerca un piccolo lucchetto). Presta particolare attenzione a controllare che il sito web su cui stai navigando non sia contraffatto.

Ricorda inoltre che la maggior parte delle banche e dei servizi hanno un indirizzo mail che ha proprio lo scopo di assistere i clienti e riconoscere se una mail o un SMS ricevuto è frode o meno. Se la tua banca dispone di questo indirizzo (ti basterà controllare sul sito ufficiale) e dovessi ricevere un messaggio sospetto, non dovrai far altro che inviare lo screen del messaggio per mail e aspettare di ricevere risposta. Saranno loro a dirti se si tratta di frode oppure no.

Anche se la vostra banca non dispone di un indirizzo apposito, rivolgiti sempre a lei per qualsiasi dubbio e cerca di non agire trasportato dalle emozioni o dalla fretta.

Infine, se ti rendi conto di aver ceduto i tuoi dati personali o se noti operazioni sospette sul tuo conto, blocca immediatamente la tua carta e contatta la tua banca. Sarà lei ad indicarti come procedere. Se blocchi la carta subito, è probabile che i criminali non abbiano avuto abbastanza tempo per accedere al tuo conto.

Ricordati di prestare attenzione anche ai malware. Si tratta di virus capaci di entrare nel tuo dispositivo senza la tua autorizzazione e in grado di trafugare i tuoi dati. Anche per questo devi fare attenzione ai link sui quali clicchi ed utilizzare solo siti sicuri.

Inoltre, cerca sempre di avere a disposizione un ottimo sistema antivirus e di aggiornare regolarmente i tuoi dispositivi. Leggi con attenzione la pagina della tua banca dedicata alla prevenzione di truffe e phishing. Ad esempio, qui trovi quella di Intesa San Paolo.

Telefonate di phishing

Le truffe possono avvenire anche via telefono. In questo caso, si parla di “vishing” (“voice phishing”), ossia di una truffa che ha come protagonista un finto operatore.

Generalmente, il finto operatore chiama dicendo di essere l’operatore di un istituito di credito, e informa il cliente che è avvenuto un tentativo di frode sulla sua carta. Proprio a causa di questa frode, il finto operatore chiede all’utente di comunicargli alcuni dati personali, così da poter impedire la truffa.

L’utente, che inizia ad agitarsi e non ragiona più lucidamente, comunica i propri dati e non si rende conto del fatto che la vera truffa sta avvenendo invece proprio in quel momento. Difendersi dal vishing è più difficile, ma possibile.

Ad esempio, potresti chiudere la telefonata e richiamare la tua banca usando il circuito ufficiale (cioè il numero ufficiale), così da evitare un eventuale tentativo di truffa e avere la certezza di parlare con un vero operatore.

Phishing sui social media

Attenzione anche al phishing sui social media. Instagram, LinkedIn, Facebook e Twitter sono infatti potenzialmente molto pericolosi. Proprio sui social è infatti possibile diventare vittime di “spear phishing”, una truffa “personalizzata”, all’interno della quale i truffatori prendono di mira una sola persona e ne studiano abitudini e caratteristiche. Ad esempio, su LinkedIn può capitare che dei malintenzionati si fingano datori di lavoro e richiedano dati personali. 

I criminali che operano sui social media sanno benissimo che la maggior parte degli utenti non prende sul serio l’importanza delle password e delle credenziali di accesso, e utilizza la stessa per più piattaforme. Ricordati quindi di non utilizzare la stessa password per più social e di cambiarla spesso.

In questo video Stefano Mongardi spiega come funzionano le truffe sui social media, soprattutto su Instagram, e come difendersi. In particolare, viene spiegato come evitare truffe nel momento in cui si cerca di ottenere la verifica dell’account.