Phishing email cos'è e come difendersi
Uno dei sistemi di hacking più subdolo ed efficace (per gli hacker) è sicuramente il phishing, una tecnica che “gioca” sulla buona fede dell’utente che si trova davanti ad una email inviatagli da un soggetto nascosto che ha come unico scopo quello di rubare l’identità e informazioni relative a dati sensibili. L’argomento è molto attuale e, nonostante sia una minaccia conosciuta, si rivela ancora molto pericolosa a livello informatico.
Cos’è il phishing?
Il phishing è una minaccia informatica che giunge attraverso la casella di posta elettronica e per questo viene spesso indicato come phishing email. Lo scopo è il furto di identità digitale o di dati sensibili, come ad esempio i codici della carta di credito, dati aziendali, credenziali di accesso a conti correnti bancari, siti di commercio elettronico o social. Solitamente una email phishing si presenta sotto forma di un messaggio che invita a compiere un’azione in breve tempo per risolvere un fantomatico (e inesistente) problema. In genere la mail sollecita il lettore a cliccare un link che rimanda ad una pagina nella quale inserire i propri dati per risolvere eventuali intoppi (inventati) legati alla carta di credito, oppure al conto corrente bancario o ad un profilo account utente. In buona fede, la persona cade nel tranello cliccando il collegamento indicato e assecondando la richiesta, inserendo dati, numeri e password che vengono in tempo reale recepiti dalla controparte all’insaputa del soggetto.
Come funziona la tecnica di phishing
Solitamente un attacco hacker con la tecnica del phishing viene strutturato e organizzato in diverse fasi.
- Invio email: il malfattore scrive un contenuto che ha lo scopo di ingannare il destinatario. Ci sono programmi specifici che consentono di inviare più mail contemporaneamente ad un numero elevato di persone, simulando in tutto e per tutto alcune realtà più grandi (istituti bancari, poste, assicurazioni, siti di pagamenti elettronici o di commercio elettronico).
- Lettura mail: il destinatario riceve la mail e la legge. Infatti, non sempre questa viene filtrata dallo spam in quanto bypassa il controllo attraverso un oggetto interessante e una visualizzazione grafica credibile. Ciò che legge l’utente è sempre qualcosa relativo al manifestarsi di un eventuale problema risolvibile in breve tempo e con pochissime operazioni, come l’autenticazione dopo il click su un link predisposto dal truffatore.
- Click sul collegamento: Il collegamento rimanda ad una pagina che non è quella reale, ma una sua copia, ovvero un sito fittizio appoggiato ad un server controllato direttamente dalla controparte.
- Copia credenziali: una volta che il malcapitato segue le indicazioni riportate sulla pagina fasulla, credendo però di essere su quella reale, fornirà involontariamente i dati richiesti anche al phisher il quale copierà istantaneamente le informazioni, all’insaputa del titolare.
Come riconoscere il phishing web?
Innanzitutto il phishing è riconoscibile e basta prestare attenzione alle email che giungono nella propria casella di posta. Ci sono alcune operazioni che possono smascherare istantaneamente il tentativo di truffa. Ecco alcuni consigli:
- Indirizzo email: verificare l’indirizzo email del mittente è fondamentale ed è la prima operazione da fare. Anche se il messaggio arriva spesso come “servizio clienti”, “acquisti” o simili, basta cliccare col tasto destro sul mittente della mail per accertarsi se lo scrivente sia o meno credibile. Non solo il controllo va effettuato al nome, ma soprattutto al dominio. Se a scriverci realmente è la nostra banca, il dominio della mail sarà quello dell’istituto di credito di cui siamo clienti e non certo quello di altri provider.
- Verifica l’orario di invio: di solito le email phishing vengono inviate a orari improbabili, come ad esempio nel pieno della notte oppure in momenti in cui gli uffici sono chiusi. Così, se la mail ti è stata inviata, ad esempio, in piena notte, sicuramente non sarà la tua banca, come non lo sarà nemmeno se l’orario di invio fosse alle 22.05 della sera, quando, inevitabilmente, le filiali sono chiuse.
- Leggere il testo: il contenuto di una email è importante. Un messaggio che è reale è scritto senza errori di ortografia, con una grammatica scorrevole e corretta. E’ bene diffidare da messaggi che appaiono come traduzioni nemmeno troppo fedeli o grammaticamente scorrette. Allo stesso modo è utile diffidare da chi ti scrive che “il tuo dominio è in scadenza” o che “il denaro che attendi deve essere sbloccato per essere regolarmente accreditato sul tuo conto”.
- Guarda i tempi: difficilmente la tua banca o un sito reale in possesso dei tuoi dati sensibili ti richiede modifiche urgenti. Le email di phishing spesso mettono fretta e trovi frasi del tipo “Hai 48 ore di tempo prima che il tuo account venga disattivato”: questo è un classico stile delle email phishing, ben lontano da chi esegue le operazioni con regolarità, sicurezza e ufficialità.
- Controlla i social: se pensi di essere caduto nella trappola, dai uno sguardo ai tuoi profili social. Capita, non di rado, che un attacco di phishing fatto bene possa richiamare fatti realmente accaduti che sono però alla portata di tutti semplicemente leggendo i tuoi profili social. Verifica eventuali post a commento delle tue storie, o richieste di amicizia sospette.
Come difendersi dal phishing?
Un primo modo per difendersi dal phishing spetta ad un eccellente antivirus. Ci sono sistemi che offrono una protezione valida e continua, individuando di “default” la maggior parte dei tentativi di attacco attraverso email phishing. Ci sono programmi antivirus che sono molto evoluti e capaci di anticipare eventuali sviluppi di software maligni, bloccandoli sul nascere. B4web, ad esempio, offre tale servizio a copertura del pc e delle reti aziendali.
Una seconda modalità di protezione da phishing interessa la gestione delle password. Si consiglia di cambiare frequentemente le password di accesso ai siti più utilizzati e agli account ritenuti principali che aprono le porte a informazioni private e sensibili (ad esempio conti correnti bancari, paypal, ebay, trading online e simili).
Considera che il phishing colpisce anche le aziende e non è poi una eventualità troppo lontana. Se vuoi innalzare barriere ancor più alte a tutela della tua sicurezza, contattaci per avere rassicurazioni su come poterti proteggere dagli attacchi informatici esterni.