Phishing informatico
Il phishing è una tecnica di truffa informatica volta a ingannare gli utenti per ottenere informazioni personali e riservate, come password, numeri di carte di credito, dettagli bancari, o altre credenziali.
Il termine “phishing” deriva dal verbo inglese “fishing” (pesca), poiché i truffatori “pescano” le informazioni sensibili attraverso inganni, cercando di attrarre la vittima come un pesce che abbocca all’esca.
COME FUNZIONA IL PHISHING?
I truffatori utilizzano vari metodi per ingannare le persone. Il phishing più comune avviene attraverso email fraudolente (ma non si limita a queste), che sembrano provenire da fonti affidabili, come:
- Banche: Un’email sembra provenire dalla banca dell’utente e lo invita a cliccare su un link per “verificare” o “aggiornare” le proprie informazioni bancarie.
- Servizi di pagamento: Un’email simula quella di PayPal, Apple, Amazon o altre piattaforme, chiedendo di aggiornare le credenziali dell’account per motivi di sicurezza.
- Social media: Il messaggio può fingere di provenire da piattaforme come Facebook, Instagram o LinkedIn, avvisando l’utente di attività sospette sul suo profilo.
- Aggiornamenti software: Un messaggio ingannevole potrebbe chiedere di scaricare un “aggiornamento” del software o una “patch di sicurezza” che in realtà è dannoso per il dispositivo.
LE CARATTERISTICHE DELLE EMAIL DI PHISHING
- Indirizzo email falsificato: Anche se l’email sembra provenire da una fonte legittima, spesso l’indirizzo email è simile ma con piccole differenze (ad esempio, una lettera sostituita o un dominio diverso).
- Messaggi urgenti: Molto spesso, le email di phishing creano un senso di urgenza (“Account sospeso!”, “Devi agire subito!”, “Clicca per confermare o perderai l’accesso!”) per spingere l’utente a compiere azioni rapide senza riflettere.
- Link sospetti: Il messaggio contiene un link che sembra legittimo, ma se si passa il mouse sopra di esso, si vedono URL strani o non corrispondenti al sito vero. Ad esempio, un link che porta a un sito con un dominio incompleto o sbagliato.
- Allegati dannosi: A volte, l’email contiene allegati che, se aperti, possono infettare il dispositivo con malware o ransomware.
- Errori di grammatica o stile: Le email di phishing spesso contengono errori grammaticali, di punteggiatura o frasi che sembrano tradotte male.
TECNICHE COMUNI DI PHISHING
- Spear phishing: Una forma più mirata di phishing che si concentra su individui o aziende specifiche. I truffatori raccoglieranno informazioni personali (ad esempio sui social media) per creare messaggi molto credibili e convincenti.
- Phishing via SMS (smishing): Invece di usare email, i truffatori inviano messaggi SMS contenenti link dannosi o richieste di informazioni.
- Phishing via chiamata (vishing): I truffatori utilizzano chiamate telefoniche per fingere di essere rappresentanti di aziende legittime, cercando di estorcere informazioni sensibili.
- Phishing tramite social media: I truffatori inviano messaggi diretti o creano account falsi sui social media per ingannare gli utenti e ottenere dati personali.
CONSEGUENZE DEL PHISHING
- Furto di identità: I truffatori possono utilizzare le informazioni rubate per accedere agli account bancari, fare acquisti online o prendere in prestito denaro a nome della vittima.
- Furto di denaro: Se i dettagli bancari o della carta di credito vengono compromessi, i truffatori possono rubare fondi dal conto della vittima.
- Accesso a dati sensibili: I criminali informatici possono rubare informazioni aziendali sensibili o compromessi sistemi aziendali per ottenere vantaggi economici o causare danni reputazionali.
- Installazione di malware: A seguito di una truffa di phishing, il dispositivo dell’utente può essere infettato con virus, trojan o ransomware, che possono danneggiarlo o esporre ulteriori informazioni.
COME PROTEGGERSI DAL PHISHING
- Verifica gli URL: Prima di cliccare su un link, passa sopra di esso con il mouse per verificare l’URL effettivo. Assicurati che il sito web sia quello giusto e che inizi con “https://” (soprattutto nei siti che richiedono informazioni sensibili).
- Non fornire mai informazioni sensibili: Nessuna banca o istituzione legittima ti chiederà mai via email o telefono di fornire password, PIN o numeri di carta.
- Controlla l’indirizzo email del mittente: Anche se il nome appare legittimo, verifica sempre l’indirizzo completo dell’email.
- Aggiorna i software e antivirus: Assicurati che il tuo dispositivo sia protetto da un antivirus aggiornato e che il sistema operativo e le applicazioni siano sempre aggiornati.
- Usa l’autenticazione a due fattori (2FA): Abilitare la verifica in due passaggi aggiunge una protezione extra contro il phishing, anche se qualcuno riesce a ottenere la tua password.
CONCLUSIONI
Il phishing è una delle forme più comuni di cyberattacchi, ed è sempre più sofisticato. La protezione dipende dalla vigilanza dell’utente e dalle misure preventive, come l’educazione sulla sicurezza informatica e l’uso di tecnologie protettive. Riconoscere e prevenire gli attacchi di phishing è fondamentale per evitare danni gravi.
Il CSA (Centro Servizi Abruzzo) diffida i propri associati dal fornire a chiccessia le proprie credenziali “nome utente” e “password” o i codici di operazioni dispositive oppure i dati delle carte di credito richieste attraverso messaggi di posta elettronica.
Nessuna società o banca chiede mai dati sensibili via mail ai propri clienti.