Internet

Cosa è il phishing e come difendersi

Adriana EPPE
Cos’è il phishing e come difendersi
Condividi sui tuoi Social
Amazon Black Friday

In questo articolo cercheremo di capire cosa è il phishing e come difendersi.

Il problema?

Da alcuni anni ricevo quotidianamente e-mail da “banche”. Tali banche, con le quali non ho mai avuto rapporti, mi invitano a seguire il link contenuto nel loro avviso. I messaggi sono principalmente di due tipi. Ci sono le “minacce” che mi avvisano di andare subito nella pagina web suggerita perché altrimenti mi bloccano il conto (quale conto? se io non ho mai avuto un conto in quella banca?). Ci sono comunicazioni da “istituti di credito”. Queste mi avvisano di vincite in denaro o in natura. Tuttavia, devo visitare il loro sito per ritirare il premio.

Lo so, a questo punto anche voi penserete che sono fortunato, sono un uomo al quale tutti vogliono regalare qualcosa. Mi dispiace deludervi, ma non sono fortunato. Questo vale anche per i milioni di utenti di internet che ricevono messaggi simili ogni giorno. Molte persone cadono nelle trappole dei criminali che inviano tali messaggi.

Trappola?

Si trappola! Questi messaggi sono trappole premeditate per causare danni, soprattutto economici. Alcune persone cadono nell’inganno delle promesse di premi o si sentono minacciate da tali messaggi. Questa è tutta una grande truffa! Questo è il phishing!

Non sapete ancora che cosa è il phishing? È sorprendente che non ne abbiate sentito parlare. Tuttavia, è meglio discuterne nuovamente. Ora, vediamo di cosa si tratta con questo “fenomeno”.

Il phishing è un’attività truffaldina. Questa sfrutta lo studio del comportamento individuale per carpire informazioni, noto come ingegneria sociale o social engineering.

Questa tecnica è utilizzata per ottenere l’accesso a informazioni personali o riservate. L’obiettivo è il furto di identità tramite comunicazioni elettroniche, come messaggi di posta elettronica fasulli, ma anche messaggi istantanei e contatti telefonici.

Questi messaggi cercano di ingannare l’utente. Lo scopo è far rivelare dati personali come il numero di conto corrente, la carta di credito e i codici di identificazione. Queste informazioni cadono in mani non beneintenzionate.

La persona (social engineer) che prepara questi messaggi sa fingere, sa ingannare gli altri, in una parola sa mentire.

Un social engineer è esperto nell’occultare la sua vera identità. Si fa passare per qualcun altro e riesce a ottenere informazioni che altrimenti non potrebbe mai avere con la sua identità reale.

La metodologia d’attacco

Una metodologia standard di attacco di phishing normalmente si riassume nelle seguenti fasi:

  1. l’utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
  2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account ecc.).
  3. l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione.
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

In alcune situazioni, l’email può presentare un’opportunità di lavoro e richiedere le coordinate bancarie per ricevere denaro e successivamente trasferirlo ad altri conti, trattenendo una percentuale. Solitamente, il trasferimento avviene con bonifici gratuiti, sempre via Internet, verso un altro conto on line.

Si tratta del denaro rubato con il phishing, per il quale il titolare del conto on line, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Il phisher rischia di perdere una parte del denaro ottenuto, ma preferisce distribuirlo su vari conti correnti e attraverso diverse nazioni per evitare l’identificazione.

La difesa

La prima cosa da sapere per difendersi dal phishing è che i malintenzionati attuano questa pratica non sanno effettivamente presso quale banca o servizio online il malcapitato utente ha un conto.

Se vi arriva un messaggio fraudolento che sembra un messaggio della vostra banca si tratta solo di una coincidenza; infatti è proprio su questo che si basa il phiser (cioè colui che mete in atto l’attacco).

Il fisher in realtà non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita limitara a fare aspamming inviando lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.

Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell’e-mail che contiene il tentativo di phishing.

Un primo controllo per difendersi dai siti di phishing è quello di visualizzare l’icona (a forma di lucchetto in tutti i browser) che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL). Infatti, copiando il relativo html, si può facilmente imitare la pagina di autenticazione che appare così identica a quella originale mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet.

Esistono programmi specifici e anche liste nere (blacklist), che consentono di avvisare l’utente, mettendolo così in grado di difendersi dal phishing, quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un’e-mail.

ATTENZIONE!!

E’ buona norma, al fine di difendersi dal phishing, diffidare sempre di chi vi chiede, tramite i vari messaggi, di inserire i dati del vostro account (username, password, numero carta di credito) nel sito raggiungibile tramite il link inserito nel messaggio. al 100% quel link non porta la sito della vostra banca ma ad un sito clone.

Tenere sempre presente che le banche o gli altri servizi online non chiedono mai questi dati usando email o messaggi del genere.

Inoltre, non collegarsi mai ai siti delle banche o servizi online cliccando sui link nei messaggi. Scrivere sempre l’indirizzo noto nella barra degli indirizzi.

ABI – Decalogo Antiphishing 

Di seguito si riporta il decalogo stilato dall’ABI per difendersi dal Phishing:

  • diffidate di qualunque e-mail che richieda l’inserimento di dati riservati: la vostra banca non richiederà tali informazioni via e-mail.
  • e’ possibile riconoscere le truffe via e-mail con qualche piccola attenzione. Generalmente queste e-mail non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici); fanno uso di toni intimidatori, ad esempio minacciando la sospensione dell’account in caso di mancata risposta; non riportano una data di scadenza per l’invio delle informazioni.
  • nel caso in cui riceviate un messaggio contenente richieste di questo tipo, non rispondete via e-mail, ma informate subito la vostra banca tramite il call center o recandovi in filiale.
  • non cliccate su link presenti in e-mail sospette, in quanto questi collegamenti potrebbero condurvi ad un sito contraffatto, difficilmente distinguibile dall’originale. Anche se sulla barra degli indirizzi del browser viene visualizzato l’indirizzo corretto, non vi fidate: e’ possibile infatti per un hacker far visualizzare un indirizzo diverso da quello nel quale realmente vi trovate
  • diffidate inoltre di e-mail con indirizzi web molto lunghi, contenenti caratteri inusuali
  • quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l.indirizzo che compare nella barra degli indirizzi del browser comincia con https:// e non con http:// e nella parte in basso a destra della pagina e’ presente un lucchetto.
  • diffidate se improvvisamente cambia la modalità con la quale vi viene chiesto di inserire i vostri codici di accesso allo home banking: ad esempio, se questi vengono chiesti non tramite una pagina del sito, ma tramite pop-up (una finestra aggiuntiva di dimensioni ridotte). In questo caso, contattate la vostra banca tramite il call center o recandovi in filiale.
  • controllate regolarmente gli estratti conto del vostro conto corrente e delle carte di credito per assicurarvi che le transazioni riportate siano quelle realmente effettuate. In caso contrario, contattate la banca o l’emittente della carta.
  • le aziende produttrici dei browser rendono periodicamente disponibili on-line e scaricabili gratuitamente degli aggiornamenti (cosiddette patch) che incrementano la sicurezza di questi programmi. Sui siti di queste aziende e’ anche possibile verificare che il vostro browser sia aggiornato; in caso contrario, e’ consigliabile scaricare e installare le patch.
  • Internet e’ un po’ come il mondo reale: come non dareste a uno sconosciuto il codice PIN del vostro bancomat, allo stesso modo occorre essere estremamente diffidenti nel consegnare i vostri dati riservati senza essere sicuri dell’identità di chi li sta chiedendo. In caso di dubbio, rivolgetevi alla vostra banca.
Questo post è stato letto: 79

Post correlati

Pharming: cos'è e come proteggersi
Pharming: cos’è e come proteggersi
Condividi sui tuoi Social

Condividi sui tuoi SocialCos’è il Pharming? Il “Pharming” è una tecnica di cyberattacco avanzata che reindirizza gli utenti da siti…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *