Che cos’è il phishing
Il phishing è una tipologia di attacchi informatici che consiste nell’inviare link fraudolenti, ma apparentemente affidabili, allo scopo di infettare i dispositivi e raccogliere dati sensibili agli utenti.
Solitamente, questo tipo di malware è spesso veicolato attraverso le email, utilizzando un mittente e un oggetto attendibili per convincere le persone ad aprirle e a compiere azioni compromettenti.
Negli ultimi anni, però, anche i social media sono diventati terreno fertile per questo tipo di malware, che viene spesso diffuso attraverso link esterni e messaggi privati provenienti da altri utenti che sono già caduti vittime di attacchi informatici.
Come avvengono gli attacchi?
Poiché il phishing viene veicolato prevalentemente attraverso messaggi di posta elettronica o via SMS, i malintenzionati devono disporre degli indirizzi email o dei numeri di telefono degli utenti.
A ciascuno di essi viene quindi recapitato un messaggio nel tentativo di attirare l’attenzione, spesso con mittenti apparentemente attendibili (è frequente il riferimento a siti o aziende con cui hanno interagito realmente). Solitamente, vengono richieste ai malcapitati azioni specifiche che richiedono una qualche interazione, come il clic su un link, l’inserimento di dati o il download di file. È in questo momento che avviene concretamente l’attacco ai danni dell’utente: dietro quel link, quel modulo di inserimento dei dati o quel file da scaricare si nasconde un malware in grado di rubare informazioni o infettare il dispositivo.
I rischi che ne conseguono possono essere molto gravi: si va dalla sottrazione delle credenziali dei propri account fino al furto di file o denaro.
Alcuni esempi di phishing
Un esempio molto comune di phishing sono le email provenienti, almeno in apparenza, dagli istituti bancari, nei quali viene richiesto di inserire le proprie credenziali per cambiamenti nelle policy di sicurezza o per presunte violazioni dell’account. In verità, questi messaggi sortiscono l’effetto opposto a quello dichiarato, andando a minare la riservatezza dei dati dell’utente.
Un’alternativa alle email molto comune sono gli SMS, spesso utilizzati per inviare ipotetiche offerte eccezionali o sconti imperdibili apparentemente provenienti da grandi imprese affermate. Per aderire alla promozione, viene solitamente richiesto di rispondere al messaggio ed è questa l’azione da cui scaturisce l’attacco.
Un altro tipico esempio di phishing, poi, è quello perpetrato sui social network utilizzando titoli sensazionalistici o provocatori, aventi il preciso scopo di incuriosire gli utenti e spingerli a cliccare sul link per leggere il post completo. In questo modo, i malcapitati finiscono su un sito esterno (anche se spesso la navigazione avviene rimanendo all’interno dell’app del social) dove avviene il vero attacco informatico.
Prevenire è meglio che curare
Come principio generale, per ridurre il rischio di essere vittima di qualsivoglia attacco informatico, tra cui quindi anche il phishing, consigliamo sempre di seguire le best practice fornite dal GDPR (di cui abbiamo parlato in un precedente articolo).
Inoltre, lo stesso Garante per la Protezione dei Dati Personali descrive le linee guida per stare alla larga dai cybercriminali (link alla guida ufficiale in PDF).
Di seguito riportiamo i nostri consigli per non abboccare a queste frodi:
Non cedere i propri dati a fonti inaffidabili
La prima accortezza per difendersi dal phishing consiste nel fare attenzione quando si divulgano i propri recapiti online, come il proprio indirizzo email o il proprio numero di telefono. Se il soggetto a cui vengono affidati questi dati non è sicuro, i nostri contatti potrebbero finire nelle mani di cybercriminali.
In particolare, diffidare dai moduli di iscrizione alle newsletter che compaiono come pop-up durante la navigazione, poiché potrebbero non appartenere al sito che si sta visitando, bensì potrebbero essere degli adware.
Non sempre, però, questa precauzione è sufficiente. Spesso, infatti, anche i siti più protetti subiscono attacchi mirati a rubare questi dati, perciò il rischio è sempre dietro l’angolo.
Prestare massima attenzione ai link
I messaggi (email o SMS) hanno il vantaggio di apparire confidenziali. D’altronde, solitamente solo i mittenti di cui ci fidiamo posseggono i nostri recapiti. Come detto precedentemente, però, i nostri contatti possono essere utilizzati illecitamente dai malintenzionati.
È quindi importante evitare di cliccare sui link presenti nelle email e negli SMS a meno che non si ha la massima certezza che la fonte sia affidabile.
Spesso i link malevoli sono caratterizzati da URL fittizi nei quali il dominio di secondo grado (quello che precede, per esempio, il “.it” o il “.com”) presenta errori di ortografia o numeri al posto delle lettere. Si tratta infatti di un comune escamotage per spacciarsi per un sito affidabile quando non lo si è.
Non farsi ingannare dai titoli acchiappa-clic
Anche sui social media, poi, non bisogna mai abbassare la guardia e diffidare dai titoli altisonanti, messaggi privati e menzioni da persone sconosciute. Si tratta dei principali escamotage utilizzati per ingannare gli utenti e portarli in errore infettandoli con pericolosi malware.
Accertarsi della veridicità degli avvisi di sicurezza
Infine, quando si riceve un messaggio che fa riferimento a presunti avvisi di sicurezza o altre urgenze, per esempio dalla propria banca, è sempre consigliabile prima verificare dal relativo sito senza passare direttamente dal link ricevuto. Solo una volta riscontrata l’eventuale esistenza di una valida ragione per ritenere affidabile il messaggio ricevuto, allora, si può aprire il link con ragionevole sicurezza.
