Phishing: cos'è e come proteggersi - News, alert e approfondimenti dal mondo dell'informatica - Studio Nassisi Udine, cell. 347.4795351

Vai ai contenuti

Menu principale:

Phishing: cos'è e come proteggersi

Pubblicato da in Approfondimento ·
Tags: phishingfrodiinformatiche
Come ho avuto modo di spiegare in questo mio precedente articolo, il phishing è una delle frodi informatiche più diffuse che ha l'obiettivo di carpire, con l'inganno, informazioni riservate e dati personali delle ignare vittime.

L’attacco può essere portato a termine con varie modalità. Il pirata informatico solitamente si serve di messaggi email fasulli, di siti web progettati ad hoc, di banner pubblicitari e, recentemente, anche di messaggi ingannevoli inviati attraverso Whatsapp e Facebook.

Esistono moltissimi tipi di email di phishing che, nel tempo, sono state utilizzate dai criminali informatici per ottenere informazioni personali dalle vittime. I contenuti di tali email sono i più disparati. Segnalo, ad esempio:

  • False cartelle esattoriali
  • False fatture commerciali
  • False bollette telefoniche o del servizio elettrico
  • Falsi solleciti di pagamento
  • False lettere di vettura dei più noti corrieri nazionali (Bartolini, SDA, DHL)
  • Ingiunzioni di pagamento di vario tipo
  • Notifiche di indagini da parte dell’Autorità Giudiziaria
  • False sanzioni irrogate dalla Polizia di Stato, dalla Guardia di Finanza, dai Carabinieri e, perfino, dalla Polizia Penitenziaria... come puoi notare l'elenco è veramente lungo!

Ecco alcuni esempi di come si presenta un messaggio di phishing





        

Come puoi notare, l’elemento comune a tutti questi messaggi è l’enfasi che viene posta sull’urgenza della risposta o dell’azione, creata ovviamente ad arte per indurre il destinatario ad agire senza fermarsi a riflettere. Il mittente del messaggio può essere un istituto finanziario, un Ente, un’Istituzione, un fornitore noto che ci omaggia di qualcosa: qualsiasi “amo”, insomma, che possa intrigare in qualche modo la curiosità o l’ansia di chi riceve il messaggio.

Ma come possiamo riconoscere una email fasulla?
Ci sono numerosi elementi che, se conosciuti, possono aiutarci moltissimo nell'individuare per tempo un tentativo di phishing. Proverò a riassumere alcune regole generali di comportamento, sempre valide nel momento in cui operiamo in Rete.

Prima di tutto, qualunque sia il tenore della email che riceviamo dobbiamo mantenere la calma e non dobbiamo farci assalire dal panico. Anzi, in generale, più allarmistici sono i toni di un messaggio, più elevato è il rischio che si tratti di un tentativo di frode. Il "panico" infatti è una delle leve più utilizzate dall'hacker per indurci ad agire senza riflettere!

Occorre, quindi, fermarsi ed analizzare alcuni aspetti essenziali del messaggio che abbiamo davanti e, in particolare:

  • il mittente: in una email o sms è il campo più facile da falsificare, per cui mai fidarsi di quello che leggiamo in quella parte del messaggio;
  • la formula di apertura del messaggio: poiché l'hacker invia milioni di email al giorno nel tentativo che qualcuno dei destinatari abbocchi al suo tentativo di frode, le email devono essere per forza di cosa generiche. Leggeremo quasi sempre formule di apertura del tipo “gentile cliente della banca x”, oppure “gentile iscritto al servizio y”, o semplicemente “gentile cliente” o “gentile utente”. Tutti gli istituti di credito o gestori di carte di credito, proprio per contrastare il phishing, se inviano una email ai loro clienti, inseriscono sempre il nome e cognome della persona a cui la comunicazione è diretta;
  • il contenuto del messaggio: spesso i messaggi di phishing sono creati da persone residenti all'estero che non hanno una conoscenza perfetta della nostra lingua. Se individuiamo dei grossolani errori di ortografia dobbiamo subito dubitare dell'autenticità del messaggio;
  • i link presenti all’interno del messaggio: Quasi sempre l'email ricevuta cercherà di convincerci a seguire le istruzioni riportate al suo interno e solitamente verremo invitati a cliccare su un certo link per avviare la fantomatica procedura di sicurezza che ci viene richiesta. Anche in questo caso non possiamo fidarci assolutamente di quello che leggiamo nel link in questione perché anche qui è semplicissimo falsificarne la descrizione. Quello che potrebbe sembrare il link della nostra banca può indirizzarci da tutt’altra parte. Solitamente l’hacker farà in modo che il link punti ad un sito in tutto e per tutto simile a quello del nostro istituto di credito, per farci abbassare la guardia e farci sentire più tranquilli. In realtà si tratta di un sito contraffatto, fasullo, anche se riporta il logo e il nome della nostra banca. Se malauguratamente dovessimo inserire le credenziali d’accesso al nostro conto corrente, questi dati verrebbero subito inviati all’hacker che li utilizzerebbe immediatamente a suo vantaggio;
  • gli allegati al messaggio: gli allegati di posta elettronica sono ancora uno dei canali più utilizzati per diffondere virus e malware in generale. Affinchè un virus possa installarsi sul nostro computer è necessaria un'azione da parte dell'utente, tipicamente il doppio click sinistro del mouse, che consente l’apertura di un file o l’esecuzione di un programma su un pc. L’hacker cercherà, quindi, di indurre la vittima, ad aprire l’allegato contenuto nella email. Quasi sempre l’allegato è mascherato da falso PDF, un formato molto comune in internet che viene usato per lo scambio di documenti. Quando la vittima farà il famoso doppio click sul file in questione, anziché aprire il documento, di fatto darà il via all’installazione del virus sul suo computer.

Tieni, infine, presente un principio fondamentale: nessuna banca, Istituzione o società emettitrice di carte di credito ti chiederà mai dati personali, codici o password via email. Semplicemente perché … non può farlo! Password e codici personali non possono e non devono mai essere rivelati a nessuno. Lo stesso impiegato di banca, qualora fossimo davanti allo sportello per nessun motivo è autorizzato a chiederci codici o password personali, anche se riferiti al conto corrente che teniamo presso quella banca. Figuriamoci se può chiederceli via email! MASSIMA ATTENZIONE QUINDI!

Se sei interessato ad approfondire ulteriormente l'argomento contattami per una consulenza personalizzata.

--------------------------------------------------

Impiego molte ore del mio tempo nella stesura di questi articoli che poi pubblico, gratuitamente e a disposizione di tutti, sul mio sito. Se hai trovato interessante questo scritto condividilo sui tuoi social network preferiti o invia il link di questa pagina ai tuoi amici. Mi darai, in questo modo, la possibilità di far conoscere il mio lavoro anche ad altre persone.

A te non costa nulla e per me è motivo di grande soddisfazione!
Ti ringrazio per l'apprezzamento



Studio Nassisi - Copyright 2010-2020. All rights reserved.
Torna ai contenuti | Torna al menu