Il phishing è un tipo di frode on-line che cerca di rubare le tue informazioni simulando e-mail di enti e organizzazioni ufficiali. Come non cadere come un pesce lesso nella truffa? Ecco qualche piccolo consiglio.

Il termine phishing deriva dalla fusione di due vocaboli inglesi: fishing (pesca) e password. Di cosa si tratta nell’esattezza? Il phishing è una vera e propria frode on-line.

Nello specifico, la pratica sfrutta i canali on-line, prevalentemente la posta elettronica, Whatsapp e Facebook, invitando con l’inganno gli utenti a fornire informazioni preziose.

Non si tratta di qualche forma di virus o ransomware. Il phishing non sfrutta nessun tipo di malware. Com’è possibile, allora, che moltissime persone cadono clamorosamente nell’inganno?

Facile: l’utente viene fuorviato da una comunicazione che imita, talvolta in modo quasi perfetto, quella ufficiale.

L’esempio più clamoroso, e più diffuso, è proprio quello delle e-mail. I cybertruffatori (phisher) replicano il template di aziende affidabili, come banche o portali web. Con la scusa, ad esempio, di un aggiornamento imminente o della scadenza di un account, invitano quindi l’utente a lasciare i propri dati, il numero del proprio conto bancario, il numero della carta di credito, le password

Si viene quindi rimandati a un link che porta a un sito copia, graficamente identico a quello di un’azienda attendibile, situato in un server controllato dai truffatori stessi. Le informazioni che l’ingenuo utente rilascia vengono quindi memorizzate e sfruttate dal phisher per i suoi loschi scopi.

Si tratta di una tecnica subdola definita di ingegneria sociale che si sta diffondendo ad ampio raggio.

Non dimentichiamoci che i canali utilizzati non sono solo la posta elettronica. I messaggi fake circolano di frequente anche in altre App normalmente utilizzate, come Facebook o Whatsapp.

E i soldi ricavati dal phishing dove vano a finire? Ecco come vengono spesso riciclate le somme estorte.
Con la promessa di un nuovo lavoro altamente remunerativo, quello del financial manager, il truffatore invita il candidato a rilasciare i propri dati bancari, destinati all’accredito di somme che dovrebbero poi circolare in circuiti di money transfert (come Western Union). In realtà il denaro accreditato altro non è che frutto di attività di phishing. Il titolare del conto commette quindi inconsciamente il reato di riciclaggio di denaro.

 

Proteggi la tua azienda!

Scopri i nostri servizi per la sicurezza informatica

 

 

Esempi di phishing

Qui di seguito vi riportiamo alcuni esempi di come viene attuato il phishing:

  • e-mail che invitano ad aggiornare password e dati di un account (come Apple o Facebook)
  • e-mail che invitano a rilasciare il numero del conto corrente o della carta di credito (banche o Poste)
  • SMS o messaggi Whatsapp che decantano la possibilità di vincere biglietti aerei o coupon
  • SMS o messaggi Whatsapp che invitano a lanciare una sorta di catena di Sant’Antonio per vincere qualcosa (il classico “invia questo messaggio a 10 contatti”) in cambio di dati
  • messaggi Whatsapp che comunicano che l’App diventerà a pagamento e che è quindi necessario rilasciare il numero della propria carta di credito
  • e-mail o messaggi LinkedIn che promettono un’opportunità lavorativa, che invitano a rilasciare le proprie coordinate bancarie
  • phishing telefonico: l’operatore si finge di un’azienda nota e cerca di ottenere informazioni dell’utente.

 

Tipologie di phishing

Sulla base delle caratteristiche dell’obiettivo, sono state definite le seguenti tipologie di phishing:

  • Spear phishing: una truffa indirizzata a un singolo individuo o a una compagnia
  • Clone phishing: un tipo di phishing che si basa sull’imitazione grafica di una e-mail o un sito ufficiale
  • Whaling: frode che ha come vittima una persona di spicco, come un manager

Come non cadere nell’inganno del phishing

Attenzione ai link

I link fake sono molto simili agli originali ma spesso i nomi sono scritti male.
Inoltre gli URL possono includere sottodomini, che fanno apparire il link attendibile ma che in realtà rimandano a siti fasulli (es: http://nomebanca.com.sottodominio.it)
Infine, fidatevi solo di siti certificati https.

Verificate la provenienza del messaggio

Leggete attentamente e-mail e messaggi: errori ortografici o di traduzione sono sinonimo di inaffidabilità.
Inoltre state certi che la vostra banca non vi chiederà mai i vostri dati personali (che già possiede).
Nel dubbio, potete sempre contattare il vostro referente per verificare l’autenticità della comunicazione.

Share This