LOGIN
Il phishing è uno dei pericoli della contemporaneità in Internet. Una truffa che viaggia sul web che sfrutta la buona fede degli utenti per rubare loro dati di vitale importanza.
Le vittime di phishing possono ritrovarsi col conto corrente svuotato, così come possono subire gravi danni alla propria reputazione: si pensi in tal senso alla diffusione di informazioni personali senza consenso.
Per fortuna però esistono diversi metodi per difendersi dalle principali categorie di attacco phishing. Anche perché questo genere di truffa raramente ha modo di concretizzarsi senza la collaborazione (inconsapevole) della vittima.
-
1. Quali sono i principali attacchi di phishing
Shutterstock
Si parla di phishing ogni qualvolta un hacker o un malintenzionato sfrutti una comunicazione web per ingannare una vittima. Più precisamente il phishing mira ai dati personali dell’utente in questione: dunque le sue credenziali di accesso a portali e servizi.
In base al target preso di mira o alla strategia di comunicazione che viene portata avanti, è possibile identificare diverse categorie di phishing. Si tratta di truffe con caratteristiche distintive, che però condividono gli obiettivi di fondo evidenziati in precedenza.
Ad esempio si può parlare di whale phishing o di spear phishing nel caso in cui gli hacker prendano di mira un target piuttosto specifico. Ad esempio i dirigenti e i quadri di un’azienda, piuttosto che altre personalità di rilievo. Per agganciare questo genere di “pesci grossi” i truffatori ricorrono a menzogne particolarmente elaborate.
Spesso whale phishing e spear phishing prevedono uno studio approfondito delle vittime, in modo che le comunicazioni inviate siano particolarmente credibili. In tal senso gli hacker possono simulare messaggi provenienti dall’azienda per cui lavora la vittima. Ma anche comunicazioni che tirino in ballo i suoi familiari o i suoi amici.
Si parla invece di clone phishing nel caso in cui l’attenzione dell’hacker sia concentrata sulla realizzazione di una comunicazione apparentemente indistinguibile da un qualsiasi originale. Si pensi in tal senso alle comunicazioni da parte dei fornitori di servizi.
Lo smishing è un’ulteriore sotto-categoria del phishing, in cui le comunicazioni fraudolente vengono inviate attraverso SMS. Si parla invece di vishing nel caso in cui l’attacco avvenga attraverso chiamate vocali.
Nonostante le modalità di attacco leggermente differenti, l’obiettivo di smishing e vishing è però sempre il medesimo: arrivare a ottenere le informazioni personali della vittima.
Infine esiste un’ulteriore forma di phishing, che attacca direttamente i motori di ricerca: una truffa che viene descritta anche come avvelenamento SEO. In questo caso l’hacker riesce a piazzare una sua pagina direttamente nei primi risultati della SERP.
L’avvelenamento SEO è particolarmente pericoloso, perché non la vittima finisce su un sito potenzialmente nocivo senza avvisaglie di sorta. Il rischio, ancora una volta, è quello di finire condividere con i truffatori i propri dati sensibili. -
2. Leggere tutto il contenuto di una mail
Shutterstock
Il primo metodo utile per non cadere in truffe di phishing consiste nel leggere con la massima attenzione possibile tutte le comunicazioni che si ricevono. Specie nel caso in cui provengano da un mittente che non si conosce nel mondo fisico.
Prima ancora di entrare nel merito del corpo del messaggio, bisogna soffermarsi sull’oggetto e sull’indirizzo email del mittente. Si pensi ad esempio a una comunicazione che ha per oggetto un testo del tipo “Accertamento servizio X”.
Nel caso in cui l’indirizzo del mittente non abbia niente a che vedere con l’azienda o il servizio citato, è possibile considerare la comunicazione come fittizia e potenzialmente pericolosa.
Lo stesso discorso vale per tutti i messaggi che contengono strafalcioni grammaticali ed errori ortografici. Ma anche per quei messaggi che sembrano scritti da una persona con conoscenza approssimativa della sintassi italiana.
In tutti i casi di cui sopra, il messaggio ricevuto è con ogni probabilità un tentativo di phishing e non va preso sul serio. Per fortuna in questo caso l’utente non deve intraprendere alcuna azione concreta. Basta ignorare la comunicazione, evitando di cliccare su banner e link o di scaricare file in allegato. -
3. Contattare direttamente la fonte
Shutterstock
Può capitare di cogliere dei campanelli d’allarme, ma al tempo stesso di non essere certi al 100% di avere subito un attacco di phishing. In questo caso esiste un modo molto semplice per togliersi ogni dubbio: risalire autonomamente alla fonte della comunicazione.
Per farlo però bisogna ignorare la email, l’SMS o la telefonata ricevuta. Piuttosto bisogna ripartire da zero, magari effettuando una ricerca sul web. Tutti i fornitori e gli enti di rilievo sono dotati di contatti. Ebbene è sufficiente avviare una nuova comunicazione con l’entità in questione, per chiarire la propria posizione ed evitare di trovarsi in situazioni spiacevoli.
Questo genere di attenzione risulta particolarmente efficace nel caso dello smishing e del vishing. Gli SMS e le chiamate spesso provengono da fantomatici operatori della comunicazione.
Un ulteriore suggerimento per tutelare la propria sicurezza informatica è di non rispondere per iscritto. E, soprattutto, di evitare di pronunciare la parola “sì” al telefono. La voce potrebbe infatti venire registrata e riutilizzata per simulare l’adesione a offerte di cui non si sa niente. -
4. Altri metodi per difendersi dal phishing
Shutterstock
Al di là delle strategie di attenzione e buon senso, esistono diverse soluzioni software che permettono di alzare il proprio livello di sicurezza informatica, tutelandosi da diverse categorie di phishing.
Un buon consiglio in tal senso è l’installazione di estensioni di tipo ad blocker sul proprio browser: programmi che bloccano centinaia di pop-up e link potenzialmente pericolosi. Allo stesso modo è possibile optare per software espressamente dedicati al controllo degli URL: ispettori del web che analizzano l’indirizzo fornito e aiutano l’utente a capire se sia più o meno attendibile.
Infine, per abbassare ulteriormente il rischio di ritrovarsi vittima di una truffa hacker, è sempre consigliabile rimuovere l’autofill: la funzione che permette al browser di memorizzare le credenziali di accesso. Soprattutto nel caso in cui l’utente acceda a siti o servizi che non prevedono un sistema di doppia autenticazione.Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web
