Il phishing online, che mira a rubare le informazioni riservate di un individuo tramite email o pagine web false, è una vera piaga che colpisce particolarmente i francesi. È una tattica comune che è imperativo conoscere per proteggersi, tanto più che i cybercriminali sono sempre più creativi nei loro attacchi. Ecco i punti essenziali per comprendere meglio e evitare il phishing online.
Cos’è il phishing?
Il phishing, o hameçonnage in francese, è una tecnica di social engineering utilizzata da truffatori o hacker con l’obiettivo di sottrarre informazioni personali a un individuo, come password, dati bancari e altre informazioni riservate.
Si presenta generalmente sotto forma di un’email proveniente apparentemente da un’entità conosciuta dalla vittima (banca, sicurezza sociale, tasse, operatore telefonico, PayPal, ecc.), che viene invitata a rispondere o a cliccare su un link per un motivo x o y. Questo può poi reindirizzare l’individuo su una pagina dove viene richiesto di inserire le proprie informazioni personali, oppure permettere a un programma malevolo di penetrare direttamente nel suo computer.
Una volta fatto ciò, i malintenzionati dispongono di queste informazioni e possono poi utilizzarle (rubare la vostra identità, accedere ai vostri conti, ecc.) oppure rivenderle.
Si tratta chiaramente di un furto d’identità, poiché il cybercriminale si spaccia per qualcun altro per ingannare la fiducia della vittima.
Per ingannare più facilmente la vittima, il messaggio può a volte indurre una situazione urgente o stressante, come mettere pressione al destinatario minacciando una sanzione o un arresto se non regolarizza un pagamento.
Quali sono i principali tipi di phishing online?
Il phishing Spray and pray consiste nell’inviare a un gran numero di indirizzi un’email il cui scopo è generare nei destinatari un senso di urgenza affinché reagiscano senza riflettere troppo. Invita generalmente a rispondere direttamente fornendo informazioni oppure a cliccare su un link malevolo.
Il spear phishing, o harponnage, somiglia al “spray and pray” ma in una versione più avanzata poiché si rivolge questa volta a un pubblico mirato con messaggi più personalizzati, spesso imitando un’organizzazione conosciuta dal destinatario per sottrargli le informazioni.
Il whale phishing (“whale” per “balena” in inglese) mira ai grandi responsabili delle organizzazioni (direttori, CEO, alti dirigenti, ecc.). I truffatori studieranno, in anticipo, con attenzione il loro obiettivo per creare un messaggio perfettamente mirato ed elaborato, spacciandosi per una persona fidata. Poi richiederanno al responsabile in questione una somma di denaro o informazioni riservate, facendo credere che questa richiesta sia giustificata.
Il pharming è parte degli attacchi più pericolosi. Consiste nello sfruttare le falle dei servizi DNS. Il truffatore invierà email fraudolente sembrando provenire da fonti fidate, esortando i destinatari a compiere rapidamente un’azione come modificare una password. Questi saranno quindi reindirizzati su una falsa pagina internet che somiglia in tutto e per tutto a quella reale. Una volta inserite le informazioni, il truffatore potrà poi recuperarle.
Come rilevare ed evitare un tentativo di phishing?
Innanzitutto, è imperativo leggere più volte un’email proveniente da un’organizzazione (anche nota) o da un mittente che non conoscete. Verificate la forma delle frasi, l’ortografia, ma anche e soprattutto l’url della pagina e l’indirizzo email completo del mittente. Per quanto riguarda l’url, puntatelo con il mouse per vederlo completamente, poi confrontatelo con quello della pagina del vero sito aperta in precedenza sul vostro motore di ricerca per vedere se alcuni elementi differiscono.
Tenete sempre presente che le entità di fiducia (banche, governo, ecc.) non chiedono mai agli utenti di trasmettere via email le loro informazioni riservate.
Altro dettaglio da considerare: se il messaggio genera una forte sensazione di urgenza e vi pone sotto minaccia, verificate bene i punti sopra menzionati. Lo stesso vale per le email che vi annunciano la vincita di una grossa somma di denaro che sembra proveniente dal nulla.
Infine, si consiglia di utilizzare una VPN per proteggere le vostre attività online.
