Il phishing è un tipo di frode on-line che cerca di rubare le tue informazioni simulando e-mail di enti e organizzazioni ufficiali. Come non cadere come un pesce lesso nella truffa? Ecco qualche piccolo consiglio.

Il termine phishing deriva dalla fusione di due vocaboli inglesi: fishing (pesca) e password. Di cosa si tratta nell’esattezza? Il phishing è una vera e propria frode on-line.

Nello specifico, la pratica sfrutta i canali on-line, prevalentemente la posta elettronica, Whatsapp e Facebook, invitando con l’inganno gli utenti a fornire informazioni preziose.

Non si tratta di qualche forma di virus o ransomware. Il phishing non sfrutta nessun tipo di malware. Com’è possibile, allora, che moltissime persone cadono clamorosamente nell’inganno?

Facile: l’utente viene fuorviato da una comunicazione che imita, talvolta in modo quasi perfetto, quella ufficiale.

L’esempio più clamoroso, e più diffuso, è proprio quello delle e-mail. I cybertruffatori (phisher) replicano il template di aziende affidabili, come banche o portali web. Con la scusa, ad esempio, di un aggiornamento imminente o della scadenza di un account, invitano quindi l’utente a lasciare i propri dati, il numero del proprio conto bancario, il numero della carta di credito, le password

Si viene quindi rimandati a un link che porta a un sito copia, graficamente identico a quello di un’azienda attendibile, situato in un server controllato dai truffatori stessi. Le informazioni che l’ingenuo utente rilascia vengono quindi memorizzate e sfruttate dal phisher per i suoi loschi scopi.

Si tratta di una tecnica subdola definita di ingegneria sociale che si sta diffondendo ad ampio raggio.

Non dimentichiamoci che i canali utilizzati non sono solo la posta elettronica. I messaggi fake circolano di frequente anche in altre App normalmente utilizzate, come Facebook o Whatsapp.

E i soldi ricavati dal phishing dove vano a finire? Ecco come vengono spesso riciclate le somme estorte.
Con la promessa di un nuovo lavoro altamente remunerativo, quello del financial manager, il truffatore invita il candidato a rilasciare i propri dati bancari, destinati all’accredito di somme che dovrebbero poi circolare in circuiti di money transfert (come Western Union). In realtà il denaro accreditato altro non è che frutto di attività di phishing. Il titolare del conto commette quindi inconsciamente il reato di riciclaggio di denaro.

 

Cos’è il phishing?

Scarica gratis l’infografica

 

 

Esempi di phishing

Qui di seguito vi riportiamo alcuni esempi di come viene attuato il phishing:

  • e-mail che invitano ad aggiornare password e dati di un account (come Apple o Facebook)
  • e-mail che invitano a rilasciare il numero del conto corrente o della carta di credito (banche o Poste)
  • SMS o messaggi Whatsapp che decantano la possibilità di vincere biglietti aerei o coupon
  • SMS o messaggi Whatsapp che invitano a lanciare una sorta di catena di Sant’Antonio per vincere qualcosa (il classico “invia questo messaggio a 10 contatti”) in cambio di dati
  • messaggi Whatsapp che comunicano che l’App diventerà a pagamento e che è quindi necessario rilasciare il numero della propria carta di credito
  • e-mail o messaggi LinkedIn che promettono un’opportunità lavorativa, che invitano a rilasciare le proprie coordinate bancarie
  • phishing telefonico: l’operatore si finge di un’azienda nota e cerca di ottenere informazioni dell’utente.

 

Tipologie di phishing

Sulla base delle caratteristiche dell’obiettivo, sono state definite le seguenti tipologie di phishing:

  • Spear phishing: una truffa indirizzata a un singolo individuo o a una compagnia
  • Clone phishing: un tipo di phishing che si basa sull’imitazione grafica di una e-mail o un sito ufficiale
  • Whaling: frode che ha come vittima una persona di spicco, come un manager

Come non cadere nell’inganno del phishing

Attenzione ai link

I link fake sono molto simili agli originali ma spesso i nomi sono scritti male.
Inoltre gli URL possono includere sottodomini, che fanno apparire il link attendibile ma che in realtà rimandano a siti fasulli (es: http://nomebanca.com.sottodominio.it)
Infine, fidatevi solo di siti certificati https.

Verificate la provenienza del messaggio

Leggete attentamente e-mail e messaggi: errori ortografici o di traduzione sono sinonimo di inaffidabilità.
Inoltre state certi che la vostra banca non vi chiederà mai i vostri dati personali (che già possiede).
Nel dubbio, potete sempre contattare il vostro referente per verificare l’autenticità della comunicazione.

Proteggi la tua azienda!

Scopri i nostri servizi per la sicurezza informatica

Share This