phishing

Photo by mohamed_hassan from PxHere

Ogni giorno gli utenti che navigano sul web, utilizzano i social media e lavorano sfruttando una connessione ad Internet sono esposti a numerosi rischi. Tra questi, le frodi sul web e gli attacchi di phishing rappresentano le fonti di rischio maggiore.

Un attacco di phishing potrebbe non solo causare danni economici, come furti di denaro dal proprio conto. Molto spesso, i cybercriminali utilizzano le informazioni carpite illegalmente per ulteriori estorsioni, minacce o, addirittura, per rubare l’identità delle proprie vittime.

Ma ci sono vari modi per difendersi dal phishing: innanzitutto, bisogna saper riconoscere un tentativo di attacco.

In questo articolo scopriremo, dunque, di cosa si tratta, le varie tipologie di phishing e come difendersi dai cybercriminali.

 

Definizione di phishing

Con il termine “phishing” si intende una tipologia di frode sul web, la quale mira a indurre un utente a fornire informazioni e dati personali.

Di solito, i criminali si spacciano per una fonte affidabile, quale un istituto bancario o un ente pubblico, richiedendo alle vittime username, password o dati di accesso ai propri conti finanziari.

Lo strumento più utilizzato per ordire questo tipo di truffa è l’e-mail. È bene, però, sapere che possiamo potenzialmente subire attacchi anche tramite social media, SMS o addirittura telefonate.

Di solito la vittima riceve una comunicazione in cui crede di essere stata contattata da un ente o organizzazione nota e affidabile.

In realtà, nella maggior parte dei casi il messaggio di testo contiene un file. L’allegato potrebbe avere le sembianze di un URL, un file Adobe Acrobat, un pdf o simili. In realtà, però, l’allegato in questione è un malware, ossia un software dannoso utilizzato per carpire informazioni o danneggiare il dispositivo infetto.

In altri casi, l’utente viene indirizzato ad un sito web falso, ma molto simile a quello ufficiale dell’ente per cui i criminali si spacciano.

Il risultato, purtroppo, è in tutti i casi lo stesso: la vittima viene derubata dei propri dati sensibili. Il cybercriminale li utilizza per derubare il suo conto, o per sfruttare l’identità del malcapitato per commettere altri crimini informatici.

 

Le differenti tipologie

Uno dei maggiori problemi legati al phishing è che i criminali informatici aggiornano costantemente le proprie abilità. Di conseguenza, ci sono moltissime tipologie differenti di truffe e, purtroppo, ne verranno elaborate sempre di nuove.

Analizziamo insieme le tipologie di phishing attualmente esistenti e maggiormente diffuse.

 

E-mail Phishing

Si tratta di una delle forme più comuni di truffa via e-mail. Il povero malcapitato riceve un messaggio di posta elettronica, contenente un allegato di formato variabile.

In realtà, tale allegato ha il compito di installare un software malevolo che può spiare, danneggiare o clonare le informazioni contenute nel suo dispositivo.

 

Phishing HTTPS

In questo tipo di attacco, i cybercriminali inviano un’e-mail truffa contenente un collegamento che rimanda ad un sito web falso.

Il sito, di solito, è del tutto similare a quello istituzionale dell’ente per cui i criminali si spacciano. In questo modo, la vittima viene indotta ad inserire le proprie credenziali, che in tal maniera vengono rubate.

 

Pharming

Un attacco di pharming ha la capacità di reindirizzare il traffico di un sito web verso un altro sito malevolo. Anche in questo caso, il fine ultimo è derubare gli utenti delle proprie informazioni personali e/o finanziarie.

 

Spear phishing

L’attacco di spear phishing prende di mira un soggetto specifico, di solito un membro di un’organizzazione, per sottrargli le credenziali di accesso.

In questa categoria di truffa possiamo anche inserire il whaling (letteralmente “caccia alla balena”). Si tratta di un attacco diretto ai dirigenti di un’organizzazione, al fine di estorcere somme di denaro ingenti.

 

Vishing e Smishing

Negli ultimi anni si sono diffuse anche delle truffe che sfruttano canali differenti, quali le telefonate vocali e gli SMS. Nel primo caso si parla di vishing: la vittima riceve una telefonata che la sollecita a fornire le proprie credenziali.

Quando, invece, il messaggio-truffa viene inviato sfruttando gli SMS, parliamo più propriamente di smishing. L’SMS svolge la stessa funzione delle e-mail: il messaggio veicola malware o viene utilizzato per carpire le credenziali di accesso al conto della vittima.

 

Come riconoscere un tentativo di truffa 

Conoscere le varie tipologie di phishing è il primo passo per evitare di diventarne vittime. Ma ci sono anche altri segnali cui si deve prestare la massima attenzione ogni volta che si riceve un’e-mail o un SMS. Di solito, un tentativo di truffa veicola un messaggio che sembra troppo bello per poter essere vero.

Spieghiamoci meglio: un’offerta redditizia, la vittoria ad una lotteria o un’eredità che ci è stata lasciata da uno sconosciuto sicuramente nascondono un tentativo di truffa.

Altra tattica molto utilizzata nelle e-mail di phishing è quella di trasmettere un senso di urgenza, in modo da indurre la vittima ad agire senza riflettere.

In questo caso, si richiede al malcapitato di aggiornare in pochi minuti le proprie credenziali per evitare il blocco del proprio account. O ancora, viene comunicata un’offerta da cogliere in pochi minuti perché sta per scadere.

Attenzione poi a URL e allegati. Ne abbiamo già approfondito la pericolosità, dato che potrebbero scaricare malware sui dispositivi o indirizzare ad un sito-truffa. È comunque bene ribadirlo: se si ricevesse un messaggio dubbio, meglio evitarne gli allegati e cestinarlo immediatamente.

Infine, è buona regola prestare la massima attenzione il mittente dell’e-mail. Nella maggior parte dei casi, le truffe provengono da e-mail con dominio di posta elettronica pubblico. Tuttavia, banche, istituti e organizzazioni possiedono sempre un proprio nome di dominio.

 

Conclusione

Anche se, in genere, le e-mail vengono mascherate in modo da sembrare autentiche, molto spesso per evitare gli attacchi informatici basta prestare attenzione al mittente.

Occorre poi ricordare che nessun ente accreditato, né tantomeno una banca o un’organizzazione statale, chiedono informazioni personali e credenziali via e-mail.

Una richiesta del genere è dunque quasi certamente un tentativo di phishing.

Oltre a seguire le indicazioni appena fornite per individuare i tentativi di frode, è sempre il caso di proteggersi utilizzando due strumenti.

Il primo è un aggiornato antivirus, che si aggiorni automaticamente per affrontare anche le minacce e le truffe più recenti.

Il secondo strumento a nostra disposizione è il buon senso. Mai fidarsi di messaggi ambigui e di collegamenti sospetti, che non devono in alcun caso essere cliccati.