Vi è mai capitato di ricevere nella vostra casella di posta elettronica mail di provenienza apparentemente innocua ed ufficiale che, invece, una volta aperte, si rivelano poi celare truffe informatiche?
Bene, questo significa che si è stati vittima di una delle più comuni e ormai diffuse forme di hacking, il “phishing“.
Vediamo allora di cosa si tratta per imparare a riconoscerlo ed evitarne le conseguenze.
Phishing, cosa è e come riconoscerlo?
Il phishing è una pratica di hacking che consiste in una tentata truffa informatica realizzata normalmente sfruttando la posta elettronica al fine di rubare le informazioni e i dati personali delle vittime.
I mittenti apparenti sono generalmente organizzazioni conosciute con cui il destinatario intrattiene rapporti o comunicazioni o comunque di fama tale da non ingenerare sospetti; molto spesso i mittenti appaiono essere, dalla denominazione dell’account di provenienza, banche, istituti di credito, società di erogazioni di servizi o social network che inducono ad aprire la mail inserendo oggetti che colgono l’attenzione del ricevente con segnalazioni di disfunzioni, scadenze di pagamento o di password o altre richieste apparentemente importanti.
Il mittente e l’oggetto dunque sono tali da non creare sospetti in capo al destinatario che, attirato dalla mail e dal suo oggetto, senza sospetto né timore, la apre sul proprio pc o smartphone.
Ma cosa succede a seguito dell’apertura di una mail di phishing?
Non si tratta di un virus che, all’apertura del messaggio, diffonde sul pc o telefono dati che lo mandano in guasto ma si tratta di un metodo volto a carpire con l’inganno dati ed informazioni personali in modo illegittimo ed illecito. Normalmente queste mail contengono link a cui invitano il destinatario a cliccare per svolgere operazioni apparentemente importanti e lecite. Ad esempio, la “apparente” palestra a cui sei iscritto ti invita ad entrare nel sito internet di cui allega il link per controllare l’imminente data di scadenza dell’abbonamento o del certificato medico; oppure la tua “apparente” banca che ti invita a cambiare la password dell’home banking o ancora un social network o un provider o un e-commerce a cui sei iscritto ti invita ad entrare in un sito per superare un problema di sicurezza o di registrazione.
Con l’inganno e la truffa, spacciandosi per altri mittenti e utilizzando oggetti e richieste apparentemente allettanti, gli autori del phishing inducono le vittime che ricevono le mail ad aprirle, ad entrare nel sito linkato e ad inserire, attraverso appositi form da compilare, i dati e le informazioni personali a cui vogliono accedere in modo illecito. Nei casi più insidiosi, ad esempio con la scusa di rinnovare la carta di credito registrata in scadenza, viene chiesto addirittura di inserire il numero della carta di credito per poter così procedere a veri e propri furti dal conto corrente della vittima. Nei casi più gravi, è anche possibile che, con l’accesso al sito fasullo indicato, il pc della vittima venga altresì infettato da virus informatici.
Il tutto è fatto da hacker esperti che simulano perfettamente gli indirizzi mail dei mittenti e che rimandano a siti costruiti in maniera identica ai siti reali che intendono falsificare al fine di non ingenerare nel destinatario alcun sospetto sulla truffa a cui sono in realtà sottoposti.
Phishing, alcune semplici regole per tutelarsi dalle truffe informatiche
La Polizia postale è da tempo molto attenta ad informare i cittadini sull’aumento di queste forme di truffe informatiche particolarmente insidiose e ad offrire loro delle guide ufficiali su come difendersi dal phishing.
In particolare, la regola che viene chiaramente enunciata è solo una: attenzione a non farsi truffare!
Quando si riceve una mail proveniente da una Banca, da Poste Italiane, da siti istituzionali è abbastanza semplice non cadere nell’inganno: gli istituti bancari e le istituzioni pubbliche infatti non richiedono mai informazioni personali attraverso messaggi di posta elettronica, ma lo fanno contattando direttamente il cliente. Se si ricevono simili mail, che comunque ormai finiscono quasi sempre tra gli spam, è sempre consigliabile non rispondere alle e-mail e non cliccare sul link che viene proposto, ma piuttosto, se ritenuto opportuno, è bene contattare la banca o l’istituzione chiedendo conferma sulla provenienza della mail e quindi eventualmente cestinarla senza neppure aprirla.
Anche in tutti gli altri casi vanno prese precauzioni, diffidando sempre dai messaggi spam ed impersonali proveniente da siti internet e social network; è comunque sempre consigliabile accedere al sito del mittente “apparente o reale” della mail ricevuta digitando l’Url direttamente nella barra di ricerca del browser senza mail cliccare sui link contenuti nelle mail, a meno che i messaggi non arrivino in conseguenza di operazioni da voi autorizzate o richieste.
Inoltre, altra regola di fondamentale importanza è quella di non mettere mail online il numero della carta di credito se non per procedere ad acquisti da voi richiesti e ricercati; in nessun caso per il rinnovo di una carta o per una ragione di sicurezza occorre inserire un dato così particolare e rischioso.
In ogni caso, se si nutrono dubbi sulla provenienza di un messaggio e sulla ufficialità o meno del sito a cui la mail rimanda, Google ha messo a punto un sistema di sicurezza abbastanza attendibile ed aggiornato che consente di inserire un sito internet per verificarne la sicurezza.
Phising, la denuncia alle autorità
Oltre ad osservare sempre gli accorgimenti di cui sopra, può essere utile segnalare alla polizia postale la ricezione di messaggi di phishing affinché vengano avviate le opportune indagini volte a tutelare anche gli utenti della rete più ingenui.La polizia di stato ha infatti predisposto un apposito modulo online per procedere alle segnalazioni di fenomeni di phishing. Può essere utile segnalare la vicenda anche al mittente apparente dei messaggi sia per chiedere conferma sulla provenienza dei messaggi sia per invitarlo ad attivarsi con le competenti autorità.
Seguendo questi semplici consigli e con attenzione nello screening delle mail si potrà essere al sicuro dalle truffe informatiche di phishing.
Martina Scarabotta
