Al giorno d’oggi, si sente sempre più spesso parlare di “phishing”, definito ormai uno dei metodi di attacco informatico più diffusi e dannosi, che può provocare danni importanti a livello personale ma soprattutto aziendale. Precisamente, con phishing si intende il tentativo fraudolento di ottenere dati sensibili, come password, numeri di carte di credito, informazioni bancarie o dati personali, mascherandosi da entità affidabili o familiari, attraverso differenti modalità:
- Email phishing: è il tipo più comune di attacco in cui viene inviato un messaggio email con l’intento di ingannare la vittima e spingerla a cliccare su un link malevolo o aprire un allegato pericoloso;
- Spear phishing: è un attacco mirato, in cui l’aggressore raccoglie informazioni specifiche sulla vittima (ad esempio, nome, professione, interessi) per rendere l’attacco più credibile;
- Vishing: il truffatore può fingere di essere un rappresentante di una banca o di un’altra istituzione chiamando la vittima e spingendola a rivelare informazioni personali;
- Smishing: in questo caso, gli attaccanti inviano SMS fraudolenti per indurre le vittime a cliccare su link dannosi o fornire informazioni riservate;
- Pharming: un tipo di phishing più sofisticato, in cui l’attaccante manipola i domini per reindirizzare l’utente a un sito web contraffatto, anche se l’indirizzo digitato è corretto.
Considerata la vastità di tipologie di phishing esistenti, risulta difficile riconoscerle, anche se è possibile adottare determinati comportamenti per tutelarsi:
- Verifica sempre le fonti: come sempre, controlla innanzitutto il mittente di un’email o di un messaggio. Anche se sembra provenire da un’entità affidabile, verifica il dominio dell’indirizzo email o il numero di telefono, poiché i truffatori potrebbero usare domini simili ma leggermente modificati;
- Non cliccare su link sospetti: se ricevi un’email o un SMS con un link da aprire, in caso di dubbio, evita di farlo;
- Non fornire informazioni personali via email o SMS: le istituzioni non richiedono mai dati sensibili come password, numeri di carte di credito o informazioni bancarie tramite email o messaggi. Se ricevi una richiesta di questo tipo, ignorala e contatta direttamente l’ente tramite i canali ufficiali o le autorità;
- Mantieni il software aggiornato: assicurati che il sistema operativo, il browser e l’antivirus siano sempre aggiornati;
- Cerca di stare al passo con le nuove forme di criminalità: Essere consapevoli dei rischi legati al phishing e in generale, di tutte le truffe perpetrate ogni giorno è importantissimo.
A tal proposito, recentemente sta prendendo piede una nuova truffa telefonica che parte da un numero italiano e si presenta con una voce registrata che dice: «Salve, abbiamo ricevuto il tuo curriculum». L’obiettivo della chiamata è invitare il destinatario a salvare il numero e a spostare la conversazione su WhatsApp. Questa truffa che mira ad ottenere l’accesso ai dati personali e bancari, o addirittura estorcere denaro, è facilmente individuabile da chi non sta cercando lavoro, ma diventa insidiosa per chi è in cerca di occupazione e potrebbe aspettarsi di essere telefonato da un momento all’altro.
Al di là delle abili capacità dei truffatori, i principi fondamentali per proteggersi rimangono gli stessi: essere cauti e attenti nei confronti di comunicazioni, chiamate e richieste sospette. Adottando buone pratiche di sicurezza, informandosi continuamente sulle nuove truffe, rimanendo vigili, e affidandosi alle associazioni che tutelano i consumatori e alle autorità, si può ridurre significativamente il rischio di diventare vittima di phishing.
testo a cura del Servizio Civile ADOC Marche
Dr.ssa Vera Blasi