Phishing – cos’è e come difendersi?

phishing

Siamo in mare aperto, un mare pieno di insidie tese da truffatori. Siamo tantissimi pesciolini che navigano nei mari del web, che devono stare attenti alle migliaia di trappole preparate con cura per farci abboccare. Parliamo oggi dello spillaggio, abboccamento, della pesca sul web.

Il phishing (spillaggio, di dati sensibili) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità del furto di identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. [Wikipedia]


Come funziona?

Il malintenzionato invia una mail falsificando il mittente spacciandosi per qualcun altro (vanno molto di moda le banche e le poste italiane). Invita l’utente a cliccare su un link che porta ad un sito truffa, spesso identico o molto simile a quello originale. L’utente inserisce i propri dati di accesso e viene informato con un messaggio che è tutto ok (o, altre volte non accade nulla); nel frattempo i dati sono stati prontamente custoditi dal malintenzionato che adesso può usarli per utilizzi fraudolenti.

Non solo avrà accesso a conti bancari e carte di credito, potrà anche cambiare le password e potrà anche sottrarre dati e informazioni personali.

E’ una tecnica infame, che sfrutta l’ignoranza e la buona fede degli utenti. 

Fishing

Esempi e accorgimenti

Come accennavo, vanno molto di moda le banche. Basta creare una mail inserendo un logo e falsificando il mittente. Ecco l’esempio di phishing della Banca Carige. (clicca sull’immagine per ingrandirla)

banca carige phishing

Da notare il logo originale della banca per rendere l’e-mail più fiduciosa e veritiera, l’indirizzo e-mail (falsificato) @carige.it e il testo, in un certo senso, credibile. Dico in un certo senso, perché la regola numero 1 è:

Nessun istituto di credito, NESSUNO, utilizza le e-mail come forma di comunicazione delicata con il cliente. Le uniche e-mail che potreste ricevere da loro riguardano offerte promozionali o informazioni di carattere generico.

Ecco un altro esempio con il noto servizio Paypal:

paypal_phishing

Nei due esempi presentati notiamo la presenza di un link da cliccare che ci porterà nel fantomatico sito del servizio dove potremo inserire i dati di accesso.

E’ ottima abitudine controllare il link per accorgersi subito su quale sito verremo indirizzati.

paypal_phishing 2

Basta muovere il cursore sul link e in basso a sinistra leggeremo l’url di destinazione.

Ulteriori segnali da notare nel Phishing

  • Il linguaggio contiene sempre termini legati all’urgenza come “immediatamente”, “nel giro di 24h ore”, “con estrema urgenza”, “prima possibile”.
  • E’ sempre presente un link.
  • Il messaggio non è mai personalizzato, comincia spesso con “Gentile Cliente” ma non riporta mai il nostro nome o altri dati. (questi messaggi vengono inviati in blocco a migliaia di utenti)
  • I siti di phishing sono spesso simili agli originali, non solo nell’aspetto ma anche nell’url. Esempi:

    www.posteitaiane.it
    www.mircosoft.com
    www.paipal.it

Per ulteriori informazioni e per rimanere aggiornati sulle ultime truffe vi segnalo il sito di anti-phishing italia: www.anti-phishing.it

Tenete gli occhi aperti!

fold-left fold-right
L'autore
Sono un curioso appassionato di informatica, nuove tecnologie e Social Media con una laurea in Economia e Marketing e un MSc in Development Economics. I blog sono da anni la mia passione, maggiori informazioni qui. Se ti fa piacere puoi seguirmi su Facebook: