Il Phishing

Tempo di lettura: 3 minuti

Il phishing è una truffa informatica che inganna le vittime inducendole a condividere informazioni sensibili, tra cui password e numeri di carte di credito.  

L’obiettivo primario del phishing è quello di sottrarre dati per scopi dannosi. I cybercriminali potrebbero anche voler installare malware sul computer dell’utente preso di mira. 

Come nello sport della pesca (“fishing” in inglese), vi sono modi diversi di indurre la vittima ad abboccare all’amo, ma esiste un “piano di lavoro” ampiamente condiviso. Approfondiamo la tematica nel corso del nostro articolo.  

 

Le tipologie di phishing 

Con lo sviluppo delle soluzioni digitali, nel corso di questi mesi abbiamo assistito a un aumento di molteplici tipologie di truffe informatiche e conseguentemente di diverse forme di phishing. 

• Spear Phishing. Consiste nell’invio di una mail trappola a un database massivo di destinatari. Il fine dello Spear Phishing è chiaro, agisce sulla quantità, tendando di intercettare un numero ingente di informazioni sensibili. 

• Phishing mirato a un’azienda specifica, appetibile per grossi traffici di denaro, in cui la truffa informatica più frequente è quella di dirottare i bonifici. 
• La truffa del CEO, con compromissione della mail aziendale del capo ufficio. Si studia il modo di comunicazione dell’Azienda, in cui il cybercriminale acquista la capacità di sostituirsi a lui. Perché si punta propriamente al capo dell’azienda? Perché solitamente si tratta della figura con meno vincoli e limiti, fonti di vulnerabilità. Che cosa succede a livello pratico? Un hacker si infiltra nella posta elettronica. Creando una regola, può messaggiare, inviare posta e spostare le comunicazioni sospette di default in una cartella. 

 

Come riconoscere una mail phishing 

Un primo modo per proteggersi da truffe online può semplicemente consistere nel dare un’attenta occhiata alla propria casella di posta elettronica. 

 I tentativi di phishing sono solitamente riconoscibili grazie ad elementi piuttosto chiari: 

• Senso di urgenza. E-mail inviate con priorità alta, volte a generare stati di ansia e agitazione del destinatario, che perde la lucidità in corso di lettura. 
• Mittente. La maggior parte degli inganni ha errori ortografici, false estensioni del dominio. Esempio: maserati diventa maseratii.it. Un ridotto numero di utenti si accorge del cambiamento causato dal dominio inusuale. 
• Riservatezza estrema e inusuale.  
• Violazione di procedure interne che sono già state fissate. 

• Ricompensa appetibile. 
• Presenza di errori grossolani, perché gli hacker usano metodi di traduzione massiva.  
• Link e allegati sospetti. La maggior parte di virus, ransomware e malware hanno questa origine.  

Un responsabile di cyber security sa riconoscere il pericolo: è consapevole che una banca oppure un’autorità competente non chiede informazioni sensibili quali i dati relativi a carte di pagamento, chiavi di accesso all’home banking o altre informazioni personali via mail o sms. 

Nell’ultimo periodo è molto diffuso anche il vishing, un’evoluzione del phishing. Tramite mail, chat o sms si viene contattati da un presunto operatore telefonico che tenta di carpire con l’inganno informazioni private. 

 

Home banking, e-commerce e truffe informatiche 

Specie a seguito del lockdown si ha avuto un incremento del commercio elettronico, il quale ha portato con sé anche un aumento delle frodi informatiche. 

Sorge spontanea una domanda: esistono delle linee guida per effettuare acquisti online? 

1. Utilizzare la carta prepagata, invece della carta di credito, caricando un budget limitato. Qualora un cybercriminale dovesse intercettare il codice di sicurezza, non riuscirebbe ad ottenere i fondi se non ci sono. 
2. Effettuare transazioni unicamente su un sito in HTTPS, importantissimo per un e-commerce perché rende tutti i dati cifrati. Quindi anche se l’hacker provasse ad intercettare i dati bancari non ci riuscirebbe.  
3. Controllare sempre l’URL prima di effettuare il pagamento. Potrebbe essere ottimale  
4. digita direttamente l’indirizzo del sito nella barra di navigazione. 
5. Controllare il conto corrente con regolarità.  

Sempre più diffuso l’utilizzo di Paypal, che ha un metodo snello di e-commerce.  

Nel caso in cui invece venisse effettuato l’acquisto da una bacheca, le garanzie si perdono, perché molto spesso si tratta di scambi tra commercianti privati. I metodi di sicurezza sono stati implementati per le case, gli affitti e gli immobili, ma non sui beni privati. 

 

La truffa della fattura 

Un’altra truffa informatica sempre più diffusa è quella della fattura. 

Il cybercriminale intercetta uno scambio di fatture e in maniera molto semplice modifica la pro forma, cambiando semplicemente l’IBAN.  

Motivo per il quale, la comunicazione di dati sensibili di questo genere dovrebbero non essere trasmessi con modalità diverse dalla mail.  

Alcuni consigli pratici di prevenzione alle truffe informatiche  

 

• Verificare sempre la provenienza del messaggio prima di fornire informazioni personali; 
• Riflettere attentamente prima di allegare alle mail o inviare con altre modalità informazioni relative ai tuoi strumenti di pagamento; 

• Non aprire gli allegati presenti in una comunicazione da un indirizzo non riconosciuto;  
• Evitare di inviare via cellulare la fotografia ad esempio di un assegno. 

 

Hai bisogno di una consulenza per mantenere i tuoi dati in sicurezza? 

Contattaci per un servizio personalizzato!