Hai mai sentito parlare di phishing? Probabilmente, se ti sei mai informato sulla sicurezza dei dati sul web, ti sei imbattuto in questa parola che indica un particolare tipo di truffa. Conoscerla è importante per proteggersi e per evitare incidenti.
Ecco quindi una breve guida su cosa è il phishing e come evitare di essere vittima di questa truffa.
Cos’è il phishing?
La polizia postale definisce il phishing come “una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti”.
Come funziona
Il phishing prevede che un hacker attraverso messaggi, come e-mail, SMS o telefonate, riesca ad ottenere dati sensibili degli utenti.
I messaggi, infatti, sembrano provenire da istituti finanziari o da siti web che richiedono la registrazione (come gli e-commerce) e spingono l’utente a cliccare su un link che rimanda apparentemente al sito web in cui si è registrati. Il sito a cui effettivamente si accede è configurato come l’originale, per ingannare l’utente, ma i dati inseriti saranno inviati agli hacker che potranno sfruttarli a loro piacimento.
Strumenti del phishing
Il phishing tradizionalmente si basa sulle e-mail attraverso cui sono inviati messaggi che invitano a compiere azioni potenzialmente pericolose per la propria privacy ma che vengono accuratamente studiati e pensati perché l’utente che li riceve non si accorga che il mittente non è affidabile.
Oltre questo tipo di phishing possiamo individuarne altri due:
- Lo smishing: il termine nasce dall’unione delle parole SMS e phishing. Questo tipo di truffa utilizza gli SMS. La vittima riceve un messaggio che attira la sua attenzione, che lo faccia preoccupare o che generi un senso di impazienza, e che lo esorta a cliccare sul link: una volta aperto il collegamento saranno richiesti dati personali. Fornendo i dati, l’hacker entra in possesso delle informazioni personali di accesso al proprio conto oppure di dati che permettono di rubare l’identità digitale.
- Il vishing: nasce dall’unione del termine voice e phishing. Si tratta di una truffa che avviene per telefono o tramite un messaggio vocale. Si potrebbe ricevere un messaggio in cui l’hacker si presenta come un dipendente della propria banca o un funzionario di qualche istituto e potrebbero spaventare dicendo che il conto è stato compromesso; o allettare facendo un’offerta vantaggiosa; o in altri moltissimi modi che richiedono tutti la condivisione dei dati personali.
Tipi di attacco
Gli attacchi phishing avvengono, dunque, attraverso la ricezione di messaggi, ma possiamo individuare diverse modalità di attacco:
- spear phishing: ha come obiettivo soggetti specifici che vengono studiati e a cui vengono inviati messaggi personalizzati per catturarne la fiducia;
- whaling: mira ad obiettivi di grande importanza, come i politici;
- clone phishing: è un tipo di attacco che prevede l’intercettazione di una corrispondenza. Viene clonata la mail con cui la vittima conversa e da essa vengono inviati messaggi. Per la vittima l’illusione sarà quella di continuare una conversazione, ma dietro i link ricevuti si nascondono delle truffe.
I dati
La CLUSIT – Associazione Italiana per la Sicurezza Informatica ha redatto un rapporto riguardo la sicurezza ICT in Italia rilevando che nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto al 2020 e sono molto più gravi. Nel 45% dei casi gli attacchi si sono verificati in America, ma sono cresciuti anche in Europa arrivando al 21% del totale, rispetto al 16% del 2020. In Asia si riscontrano il 12% degli attacchi, in Oceania il 2% e in Africa l’1%.
Tra gli attacchi in aumento ci sono anche quelli di phishing, che sono sempre più difficili da individuare perché le tecniche di attacco utilizzate dagli hacker sono diventate sempre più sofisticate e subdole: i messaggi ricevuti sono spesso personalizzati e danno l’apparenza di essere autentici rendendo difficile la loro identificazione.
Consigli
Ci si può proteggere da questi tipi di attacchi informatici attraverso una serie di accorgimenti:
- Le banche e gli istituti finanziari non richiedono mai la conferma di dati tramite link inserito in una e-mail, ma contattano direttamente i clienti per informazioni riservate.
- Se ricevete messaggi che vi paiono falsi, contattate la vostra banca o il sito che vi dovrebbe aver inviato la mail per chiedere informazioni.
- Controllate l’URL del sito web in cui navigate e assicuratevi che sia quello originale.
- Diffidate sempre: la sicurezza prima di ogni cosa!
Cosa fare se si è vittime di phishing
Se si è vittime di phishing è necessario contattare immediatamente la banca o il sito originale in cui siete registrati e denunciare l’accaduto alla polizia postale.