Come difendersi dagli attacchi phishing

Gli attacchi phishing sono costantemente in aumento e, purtroppo, sono sempre più sofisticati e diversificati. Dai falsi SMS con mittente che si spaccia per una grande catena dell’elettronica alle finte pagine 404, non passa giorno in cui qualcuno non si inventi un nuovo modo di truffare le persone.

Secondo un report di Clusit, l’Associazione Italiana per la Sicurezza Informatica, nel biennio 2017-2018 il numero di attacchi gravi è cresciuto in Italia del +37,7%. L’obiettivo di questi attacchi phishing è sempre lo stesso: acquisire le informazioni personali degli utenti, molto spesso per poi creare dei profili fake o per accedere agli account della vittima e procedere al furto completo dell’identità online. Per ottenere lo scopo gli hacker mettono in atto le tecniche più moderne e sofisticate, compreso l’uso massiccio dei bot. Difendersi dal phishing, quindi, è ormai diventato fondamentale perché tutti siamo potenziali vittime dei truffatori online. Ecco alcuni consigli che anche chi ha poca dimestichezza con la sicurezza informatica può applicare nella vita online di tutti i giorni.

Che cosa è il phishing

Prima di passare ai consigli su come difendersi dal phishing, è necessario spiegare di che cosa stiamo parlando.

Il phishing è una truffa 2.0 che avviene online. L’obiettivo del truffatore è ingannare la persona e ottenere le sue credenziali d’accesso al conto corrente online, oppure la scansione dei documenti personali come carta d’identità, patente o passaporto. L’attacco phishing parte dall’invio di un’email o di un messaggio SMS alla vittima della truffa. Il mittente del messaggio è sempre una grande azienda, la banca oppure le Poste. I truffatori sono in grado di copiare il template delle e-mail delle grandi società e creare degli indirizzi e-mail molto simili a quelli originali. In pratica, rubano il profilo identitario di un’azienda per tentare la loro truffa online.

Il contenuto del messaggio varia di volta in volta: sospensione immediata del profilo online se non si cambia password oppure la riscossione di un premio per cui è necessario inviare i propri documenti personali. Se l’utente cade nella trappola e invia i propri dati personali, mette in rischio il proprio conto online oppure la propria identità: i documenti vengono messi in vendita sul darl web per dar vita ad altre frodi

Come scoprire se un messaggio è phishing

La stragrande maggioranza dei tentativi di phishing avviene tramite un messaggio email o SMS. Li si riconosce per i toni allarmistici, la presenza di una minaccia ("clicca qui oppure…") o in alternativa per la presenza di offerte troppo allettanti, la presenza di un link (quasi sempre abbreviato, per impedire all’utente di verificare il dominio a cui punta) e per un mittente "camuffato":  l’indirizzo del mittente phisher, infatti, imita sempre quello di un mittente legittimo. Un tempo (ma ora i truffatori lo fanno di meno) il testo del messaggio era generato da un traduttore automatico e quindi conteneva molti errori ortografici.

Come difendersi dal phishing online

Il primo modo, e anche il più efficace, per difendersi dal phishing è riconoscerlo. Per questo bisogna fare molta attenzione ad ogni messaggio che si riceve, controllare sempre l’indirizzo del mittente, non cliccare mai su un link abbreviato. Se è presente un link non abbbreviato, invece, bisogna leggerlo e rileggerlo: l’URL a cui punta potrebbe sembrare legittima, ma non esserlo nella realtà. Poiché il furto dei dati personali molto spesso viene usato per accedere ai nostri profili, compreso l’account email, è fondamentale impostare la verifica in due passaggi (per proteggere il proprio account Libero, ad esempio, è disponibile il servizio Password Sicura). Quando si scopre che un messaggio ricevuto è phishing, infine, è importante segnalarlo al proprio servizio di posta elettronica, affinché quell’indirizzo venga filtrato automaticamente come spam.