PHISHING: COME RICONOSCERLO E COME DIFENDERSI

PHISHING DEFINIZIONE E TUTELA

Chiunque di noi, ogni volta che apre la propria casella di posta elettronica, si vede destinatario di un numero più o meno rilevante di nuove mail: alcune certamente inerenti all’attività lavorativa, altre invece a carattere pubblicitario. Poi, non di rado, ci capita di vedere mail dal contenuto “strano”, con inviti ad aprire link lunghissimi e incomprensibili (anticipati da un “clicca qui”) e quasi sempre strutturate in modo tale da imitare fedelmente la grafica di quell’istituto bancario, quell’ente pubblico o, più semplicemente, delle Poste o di Enel.
In tali casi, se siete tentati di seguire le istruzioni contenute nel messaggio, il consiglio è quello di non seguire l’istinto, di cestinare la mail e proseguire oltre, poiché diversamente il rischio è quello di finire nella rete del Phisher.

COS’E’ IL PHISHING

Il Phishing è una particolare tecnica di frode informatica finalizzata all’acquisizione di informazioni e dati sensibili dei destinatari dei messaggi (ad esempio, nome, cognome e documento d’identità; le credenziali della carta di credito o del conto corrente; Username e Password per accedere all’Home Banking o ad archivi contenenti informazioni lavorative segrete o riservate; ecc).

Una volta entrato in possesso dei dati, il Phisher (ossia l’hacker creatore della truffa) potrà quindi concludere contratti, effettuare pagamenti, trasferire denaro, oppure rubare informazioni fondamentali sul piano lavorativo, il tutto “spacciandosi” per voi e senza destare alcun sospetto.

Nonostante siano tantissime le manipolazioni oggi utilizzate per sottrarre informazioni (si pensi al c.d. “Smishing” oppure al più complesso Pharming), la tecnica di phishing rimane altamente diffusa, trovando terreno fertile soprattutto tra coloro che sono poco esperti della rete.

COME SI PRESENTA UNA MAIL “SOSPETTA”

Vediamo allora in concreto come potrebbe apparire una mail contente un tentativo di phishing:

  1. ASPETTO DELLA MAIL: grafica del tutto identica, o quasi, a quella del vostro istituto finanziario (banche o società emittenti di carte di credito) o del sito web al quale siete registrati (web-mail, e-commerce ecc.) con presenza del marchio o del logo ufficiale; spesso la mail è ordinata, semplice e ben scritta in italiano; viene di solito richiamato nell’indirizzo mail il nome dell’attività (es. facebookmail.com o simili);
  2. CONTENUTO DELLA MAIL: quasi sempre la mail vi informerà di fantomatici problemi o situazioni particolari, offerte di lavoro allettanti o promozioni da non lasciarsi scappare. Ad esempio, potrebbe esservi recapitata una mail del finto Agente della riscossione (es. Equitalia – che oggi è stata sostituita con Agenzia Entrate Riscossione) che vi informa che siete debitori verso lo Stato. Oppure, la banca che vi informa di una imminente non ben specificata scadenza dellevostre credenziali, oppure vi invita a rinnovare tramite mail servizi quali PostePay, Carte prepagate o di credito; oppure ancora, un’azienda vi informa che siete stati selezionati tra tutti i clienti per fruire in incredibili vantaggi e che per ottenerli è necessario inserire il vostri dati personali (nome, cognome, codice fiscale, indirizzo ecc).

    Può capitare che vi siano errori di grammatica oppure che le frasi siano costruite in maniera non chiara; infine il messaggio può presentarsi generico e carente di informazioni, queste ultime recuperabili solamente attraverso un “click” sul link a fondo pagina.

    Nella generalità dei casi di phishing, ogni mail contiene un allegato da scaricare oppure un collegamento per accedere ad una pagina web (somigliante a quella ufficiale) dove la vittima troverà i campi per inserire i dati richiesti rendendoli noti al Phisher.

Nel Marzo scorso, ad esempio, la Polizia Postale ha pubblicato sul proprio sito un’informativa riguardante un tentativo di phishing in quei giorni in corso.
In particolare, attraverso messaggi mail contenenti una
richiesta di conferma account da parte del “finto” Facebook per motivi di sicurezza, gli utenti sono stati invitati ad inviare copia della carta di identità e di una fotografia con il documento “in mano” nel quale fosse visibile il volto della persona.

COSA FARE IN CASO DI PHISHING

Quando ci si accorge di essere stati vittima di Phishing (es.: movimenti strani nel conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), la prima cosa da fare è denunciare tempestivamente il tutto alle Autorità, anche utilizzando la piattaforma web messa a disposizione dalla Polizia di Stato.
E’ inoltre possibile, nei casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standards di sicurezza da parte dell’istituto di credito, chiedere il ristoro integrale delle somme sottratte alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitrato Bancario Finanziario).
Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.

In definitiva, non potendo sapere come i nostri dati siano stati effettivamente utilizzati dal Phisher
, e soprattutto, se il loro utilizzo sia cessato o meno, attivarsi tempestivamente ed in maniera mirata (magari affidando ad un esperto informatico il compito di rintracciare l’autore del raggiro) è il primo fondamentale
passo per limitare possibili pregiudizi futuri e ottenere giustizia nel minor tempo possibile.