Phishing

Phishing

Al pari dello sviluppo tecnologico, oggigiorno avanzano a passo spedito anche le minacce informatiche, un fenomeno preoccupante dal quale guardarsi molto bene. I criminali informatici non hanno scrupoli e sono disposti a tutto pur di realizzare i loro infidi scopi. Ai giorni nostri, proteggere i dati personali dai continui attacchi informatici non è un compito facile, in quanto spesso si tratta di fronteggiare hacker grandi conoscitori e competenti delle dinamiche informatiche.

Criminali informatici che impiegano le loro conoscenze per fini illeciti, spesso con l’intento di garantirsi un ritorno economico. Tra gli attacchi preferiti dagli hacker ci sono quelli riconducibili al phishing, una truffa telematica con il fine di rubare preziosi dati personali delle ignare vittime. Il phishing è uno stratagemma molto dannoso per le vittime, in quanto prevede la sottrazione di delicate informazioni tramite delle fasulle email e anche attraverso i social network. Con questa guida proveremo a spiegare la subdola tecnica del phishing, la sua pericolosità e i corretti comportamenti da tenere per prevenire questi attacchi informatici. Tratteremo l’argomento con termini non troppo tecnici, un modo per facilitare la lettura e renderla comprensibile anche ai meno esperti del campo informatico.

Nonostante il phishing oggi sia una minaccia informatica tra le più note, continuano ad aumentare le vittime di questo vero e proprio raggiro. Una truffa molto rischiosa perché portata avanti con lo scopo di rubare delle importantissime informazioni personali delle malcapitate vittime. Una forma pericolosissima di adescamento, alla quale prestare molto attenzione per evitare ingenti danni. Con la subdola tattica del phishing, i cyber criminali tendono a raggirare psicologicamente le vittime sfruttandone le debolezze e i timori, al fine di conoscere delicati dati: documenti di identità, credenziali bancarie e tanto altro ancora. Preziose informazioni da utilizzare per delle illecite azioni, senza che gli utenti interessati ne siano ovviamente a conoscenza. Una volta ingannato il malcapitato utente, un hacker ne può sfruttare le generalità per la vendita online di qualche prodotto inesistente oppure fruire delle credenziali bancarie per rubare denaro.

Il metodo d’attacco privilegiato dal phishing è la posta elettronica. Generalmente i mittenti dell’email appaiono come istituzioni affidabili, invece dietro tali messaggi si nascono gli inganni di singoli criminali o di vere organizzazioni criminose. Trattasi di email contenenti, solitamente, avvisi di problematiche relative agli account, un modo losco per invogliare gli utenti malcapitati a cliccare su determinati link che rimandano a fittizi siti monitorati dai cracker. Il problema nasce dal fatto che è molto difficile individuare il tentativo di truffa perché le pagine riprodotte sono molto simili alle home degli istituti di credito o di qualche seria azienda. Le ignare vittime, una volta invitati a consultare tali pagine, immettono i preziosi dati personali cadendo in questo modo nella trappola dei cyber criminali. L’email rimane una via privilegiata per gli attacchi phishing, anche se non l’unica. Da qualche tempo a questa parte, infatti, il phishing ha preso di mira, con le medesime modalità, anche i social network come Facebook. In questo caso, la truffa si concretizza attraverso la copia di una pagina di un social network, provando così a catturare le attenzioni dei malcapitati, obbligando questi ultimi a condividere le informazioni personali: codice PIN, password, etc.

Una forma particolare e molto pericolosa di attacco è lo spear phishing, sviluppata sempre tramite la posta elettronica. Un attacco simile si differenzia dal classico phishing perché, in questo caso, lo spear phishing viene indirizzato nei confronti di una determinata organizzazione o una specifica vittima. Una truffa molto pericolosa sviluppata con false email e ancora più complessa da individuare. In genere, le finalità degli attacchi spear phishing sono di carattere finanziario o addirittura si tratta di attacchi finalizzati a intercettare segreti militari o industriali.

Per difendersi dagli attacchi sferrati sotto forma di phishing, la prima regola da seguire è quella di dedicare ai dati personali la massima attenzione. Questo significa creare e gestire le informazioni con estrema cura, comunicarle esclusivamente quando è necessario e affrontare eventuali criticità con piena coscienza della materia. Avere una buona conoscenza degli attacchi più noti non guasta mai, questo perché in genere è possibile riconoscere un attacco phishing dai toni allarmistici. Un tipico esempio è dato dal messaggio che spaventa l’ignara vittima indicando la chiusura, in tempi brevissimi, del suo account. Dunque per difendersi da un attacco phishing ci sono dei comportamenti corretti da conoscere e seguire attentamente:

  • controllare i link e i mittenti dell’email prima di compiere qualunque azione;
  • prima di aprire un link è una buona abitudine controllare che l’indirizzo indicato sia lo stesso indirizzo internet al quale il link rimanderà;
  • utilizzare esclusivamente connessioni sicure, specie quando si consultano siti che trattano dati delicati. Questo perché commettere la leggerezza di consultare siti poco sicuri vuol dire favorire le azioni di phishing, in quanto i criminali informatici possono agire senza essere identificati;
  • non bisogna mai condividere con altri le proprie informazioni personali, dati che non vengono mai richiesti dalle istituzioni e dalle aziende serie e affidabili.

Abbiamo trattato una forma di attacco informatico molto conosciuto, che nonostante tutto però continua a fare vittime. In tanti, infatti, cadono ancora in trappole del genere e ad abboccare agli inviti fasulli dei cyber criminali. La cosa importante per contrastare questi fenomeni è non abbassare mai il livello di attenzione e guardare alla sicurezza informatica sempre con eccessiva scrupolosità. Meglio ricordare che, solitamente, anche se non sempre, i messaggi fraudolenti sono spediti in blocco ai destinatari e non specificano i nomi e i cognomi dei singoli utenti. Gli istituti di credito, le poste e le aziende serie non richiedono dati di accesso, password e altre informazioni delicate né invitano gli utenti a una risposta in tempi molto brevi. Quindi, eventuali messaggi caratterizzati da alcuni elementi, sono molto spesso presupposti di false email, che dovrebbero spingere qualunque utente a riflettere prima di cliccare su qualche link pericoloso. Alla luce di queste riflessioni, date dunque poca credibilità a dei grossi e inaspettati regali oppure a immagini esclusive di personaggi famosi.

Il più delle volte, se non sempre, sono messaggi intriganti inviati con lo scopo di suscitare grande curiosità e per invitare gli utenti a cliccare d’istinto sui link, senza cioè fermarsi neanche un attimo a riflettere. La leggerezza non paga in nessun campo e, purtroppo, per molti utenti è causa di qualche truffa telematica del genere. Oltre ai diversi strumenti informatici destinati alla sicurezza, spesso sono i comportamenti umani le migliori armi difensive contro gli attacchi informatici. Custodire le password in luoghi accessibili a tutti, cliccare indifferentemente su tutti i link ricevuti all’interno di messaggi di posta elettronica e, consultare costantemente siti web poco sicuri, sono comportamenti che favoriscono le fraudolenti azioni dei criminali informatici. Cyber criminali che sfruttano proprio tali comportamenti umani sbagliati, oltre alle falle e alle vulnerabilità dei sistemi informatici.

Info sull'autore

Andrea Masella author