Phishing: attenzione alle false e-mail!

Phishing: attenzione alle false e-mail di rinnovo!

Cos’è il Phishing: attenzione alle false e-mail?? Vi è già capitato di trovare nella vostra posta un’e-mail che sembra provenire dalla vostra banca, da un portale e-commerce molto conosciuto o ancora peggio dell’Agenzia delle Entrate, in cui vi si chiede di inserire le vostre credenziali o di accedere a una pagina per verificare i vostri dati? Presi alla sprovvista, magari anche con un po’ di preoccupazione, seguite le istruzioni e fornite tutti i dati richiesti. Siete convinti di aver fatto il vostro dovere ma, qualche giorno dopo, vi accorgete di uno strano addebito sul vostro conto corrente.

È questo il tipico esempio di un attacco di phishing, una truffa informatica.

Sebbene sia una delle frodi informatiche di cui ultimamente si sente parlare più spesso, il phishing (un mix dei verbi inglesi: fishing, pescare, e phreaking, pirateria telematica) è conosciuto dal 1996 e fa parte dell’ingegneria sociale, ovvero la pratica informatica di estrarre informazioni dalla persona tramite l’analisi del suo comportamento.

Il phishing si fonda su un principio molto semplice: l’anello più debole della sicurezza informatica spesso non è rappresentato dai codici o dai sistemi di cifratura (che hanno ormai raggiunto livelli di sicurezza molto alti), ma dalle persone stesse.
L’utente riceve un’e-mail all’apparenza affidabile, contiene loghi e grafiche quasi identici a quelli di siti autorevoli e diffusi come istituti bancari, poste, servizi di pagamento online o organi fiscali. All’interno del testo viene fatto riferimento a una situazione verosimile e che può destare preoccupazione, come la scadenza di una password o il cambiamento delle condizioni contrattuali.

A volte, in modo ancora più subdolo, il messaggio potrebbe fare riferimento a problemi di sicurezza del proprio conto corrente o alla propria situazione fiscale: insomma, viene utilizzata la leva dell’autorevolezza – simulando l’ufficialità della comunicazione – e quella della paura per una situazione potenzialmente dannosa.
Questi due sentimenti sono in grado di sospendere l’incredulità nei confronti dell’e-mail, inducendo il destinatario a compiere l’azione richiesta, di solito attraverso un link che porta a un sito finto, anche questo camuffato ad arte per apparire originale e verosimile, dove viene richiesto di inserire i dati di identificazione per accedere alla piattaforma o di confermare gli stessi: in questo modo i nostri dati finiscono nelle mani del truffatore.

Esistono diverse tipologie di phishing

Nello spear phishing l’attacco è mirato a una persona o a una compagnia specifica, l’hacker ne studia movimenti, attività e modalità di interazione per colpire in maniera precisa e accurata; nel caso di figure di spicco, manager o dirigenti, per esempio, si parla di whaling (letteralmente “andare a caccia di balene”) e la truffa è ancora più accurata, spesso ai limiti del ricatto.
Che si tratti di un attacco organizzato o di semplice phishing di massa, è possibile proteggersi con efficacia, prestando attenzione sempre alla fonte dalla quale la mail viene inviata e al dominio del link: controllate sempre che corrispondano ai dati ufficiali dell’istituto al quale la mail truffa fa riferimento.

Nel malaugurato caso fossimo caduti nella trappola dell’hacker e ci accorgessimo che i nostri dati personali sono stati trafugati o – ancora peggio – sono state prelevate somme sospette dal nostro conto o dalla nostra carta di credito, è necessario agire tempestivamente contattando gli amministratori del portale originale e avvisarlo dell’accaduto, cambiare le credenziali d’accesso e sporgere denuncia presso la Polizia Postale, che aprirà un regolare fascicolo per le indagini.

Inoltre, non dimentichiamo che la sicurezza dei nostri dati è un’attività regolamentata anche dalle recenti normative Europee GDPR.

No Comments

Post A Comment