Nonostante sia presente da molto tempo, negli ultimi anni si sta intensificando il fenomeno del phishing. Spesso infatti riceviamo messaggi, e-mail o sms che ci invitano a cliccare un link per risolvere un problema e, colti dalla necessità, la maggior parte delle volte ci si ritrova con un furto di informazioni personali o nei casi peggiori di denaro.
Ma cos’è il phishing?
Letteralmente il termine significa “andare a pesca”.
Per i malintenzionati, consiste nel venire in possesso di liste di indirizzi email o numeri di telefono, spesso per una fuga di dati o per l’acquisto al mercato nero. Queste liste sono molto spesso accompagnate da alcuni dati personali e possono includere: nome, cognome, indirizzo, tipo di banca, codice della carta di credito/debito, operatore telefonico e quant’altro possa identificare l’utente.
Il truffatore invia dunque a questi indirizzi o numeri di telefono un messaggio con un link, spesso creando allarme nell’utente e spingendolo a cliccare il link che può richiedere i dati personali che possono includere numero della carta di credito, pin, password e addirittura codici OTP (one time password) per autorizzare operazioni bancarie, ma anche semplicemente nomi utente e password per prendere il controllo di account utente su social o altri servizi web.
Come si presenta?
Il messaggio o la mail si configura più o meno sempre nello stesso modo:
“Salve siamo la Banca X, a seguito di una fuga di dati, il tuo account nella banca X è stato compromesso, accedi per reimpostare la tua password prima che sia troppo tardi” — Questo messaggio rischia di mettere in allarme l’utente che penserà che i propri risparmi siano a rischio, cliccherà sul link e, invece di proteggersi, invierà i dati di accesso al truffatore, che poi eseguirà in autonomia operazioni sul conto corrente.
“Il tuo pacco in consegna è bloccato alla dogana, clicca qui per sbloccarlo” oppure “Non riusciamo a consegnare il tuo pacco, clicca qui per proseguire” — Molte volte questo messaggio potrebbe passare inosservato perché magari non stiamo aspettando una consegna ma, se dobbiamo ricevere un pacco, allora il fattore di rischio aumenta.
“La tua password sul social X è stata cambiata, se non riconosci l’azione, accedi subito per bloccarla” — In questo caso non c’è nessun tentativo di accesso al vostro account, ma si gioca sulla paura di perdere il proprio profilo sui social e di corsa si corre ad accedere a una pagina, identica a quella originale, ma che però invierà qualsiasi informazione ai malintenzionati.
“Il tuo indirizzo email/dominio è in scadenza, rinnovalo per non perdere l’accesso” — Qui si configura la paura di perdere il proprio dominio, indirizzo email o ancora peggio la PEC. Il messaggio prosegue con l’invito a rinnovare i servizi prima che sia troppo tardi, accedendo, ci si trova davanti un modulo identico a quello del fornitore, con dei campi per inserire i dati della propria carta di debito/credito.
Di questo tipo di email e messaggi ne vediamo a decine ricevute dai nostri clienti, cogliamo l’occasione per ricordare ai nostri attuali e futuri clienti, che BertiDesign gestisce qualsiasi rinnovo per conto del cliente e nessun fornitore di servizi vi scriverà per un mancato rinnovo.
“Ho registrato la tua webcam mentre facevi X, se non paghi, tutti i video e le foto di quello che stavi combinando e quali siti visitavi, verranno inviate a tutti i tuoi amici e parenti” — Questo è il tentativo di phishing più vecchio ma – purtroppo – ancora funziona (controllando i portafogli pubblici di chi chiede il riscatto, si vede che qualcosa incassano). Qui si gioca sul privato, sul senso del pudore e si viene messi di fronte al dubbio, il malintenzionato chiede un riscatto per poi eliminare per sempre i dati qualora venga pagato. Le cifre richieste sono solitamente in Bitcoin, così da renderli non facilmente rintracciabili. Molto probabilmente si tratta di un messaggio predefinito, inviato a migliaia di persone, con la speranza di catturare qualche bel “tonno”. Trattandosi di portafogli Bitcoin, non è così facile rintracciarne il proprietario perché si usano spesso tecniche chiamate “CryptoWashing”, che consistono nello spostare il denaro su diversi conti fino a farne perdere le tracce.
Come capire quando si tratta di phishing?
Partiamo subito con il dire che non è così facile, ma basta un pò di accortezza in più nell’esaminare la corrispondenza.
Parlando di sms ed e-mail, nessuno vi fornirà mai un link da cliccare per risolvere un problema. I messaggi leciti vi inviteranno ad intraprendere l’azione visitando il sito web ma senza fornirvi un link, tuttavia, se questo dovesse capitare, è importante controllare che una volta aperto il link, nella barra indirizzo del proprio browser la parte iniziale della url, in particolare il dominio, coincida con quello del sito web del fornitore menzionato nella comunicazione, ad esempio facebook.com, amazon.com, intesasanpaolo.com. Fate dunque attenzione a indirizzi creati ad hoc come amzon.com facbook.com o intesanpaolo.com (controllate dunque sempre l’esattezza della url). Ovvio che, qualora il messaggio citi Facebook e l’indirizzo raggiunto sia https://hf49nhgjhdf.com/n54h3mjf/login.php, c’è da aspettarsi che sia un tentativo di phishing.
In una e-mail, si può cliccare o fare tap sul nome mittente per rivelarne il vero indirizzo e-mail, valgono le regole di cui sopra, controllare il dominio del mittente e la sua corrispondenza con quelli reali del servizio citato.
Molto spesso il testo presenta anche una grammatica sbagliata o assenza di punteggiatura, indice che si tratta di un messaggio magari tradotto malamente da un’altra lingua.
Un altro campanello di allarme potrebbe essere la mancanza di un certificato per il dominio o che sia stato emesso da un’autorità non riconosciuta o ancora auto firmato. L’avviso del client di posta o di web della mancanza di un certificato dovrebbe essere il primo motivo per abbandonare un sito web.
Come proteggersi dal phishing?
Purtroppo non ci sono metodi infallibili preventivi, se non quello sopracitato di controllare la veridicità del mittente e non fidarsi mai troppo di cliccare i link ricevuti in mail se non richiesti. Un consiglio piò essere quello di, nel caso di messaggi che sembrerebbero ad esempio, provenire dalla vostra banca, contattare direttamente la società usando i numeri ufficiali, reperibili, nel caso citato della banca, sul vostro estratto conto o sul sito ufficiale, sia per verificarne l’autenticità della notifica, che per segnalare il tentativo di phishing.
Importante è sempre denunciare alle autorità qualsiasi tentativo andato a buon fine, sia per un’eventuale rivalsa che per far si che vengano avviate delle indagini contro questi soggetti.
BertiDesign fornisce ai propri clienti caselle e-mail con filtri antispam di altissima qualità, istruiti per catturare e bloccare la maggior parte dei tentativi di phishing conosciuti, oltre a fornire assistenza qualora non si riesca a capire quali siano i messaggi reali e quali invece tentativi di frode. Contattaci per saperne di più
Affidarsi ad un team di professionisti è importante per evitare di incorrere in tentativi di raggiro o furti di identità, sapremo sempre come consigliarti sia sulle misure di sicurezza che su come attuarle nel migliore dei modi.
In conclusione, si raccomanda di non cliccare mai link senza averli richiesti o se non si conosce il contenuto.
Foto: Pixabay