Su Internet si sente spesso parlare di phishing, ma non tutti sanno cosa sia realmente. Ecco quindi spiegato che cos’è, come funziona e, soprattutto, come difendersi dal phishing.
Che cos’è il phishing?
Il phishing (si pronuncia fìshing) non è altro che un tentativo di frode, messo in pratica attraverso Internet, che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito (non a caso phishing deriva dal termine inglese fishing che significa pescare). Per fare questo, di solito i malintenzionati non utilizzano virus, spyware, malware o altri software malevoli ma si limitano semplicemente ad usare tecniche di ingegneria sociale attraverso le quali vengono studiate ed analizzate le abitudini delle persone (cioè delle potenziali vittime) al fine di carpirne informazioni utili.
La tecnica preferita per mettere in pratica il phishing consiste nell’invio di email (molto spesso si tratta di messaggi di spam) con sembianze e caratteristiche molto simili a quelle riscontrabili in siti web autorevoli e particolarmente diffusi come istituti bancari, istituti postali e servizi di pagamento online (ma non solo). Oltre a questa tecnica, ne esistono però delle altre (che sono meno frequenti, ma pur sempre efficaci), quali lo spear phishing, l’invio di particolari SMS (chiamato smishing) o magari attraverso delle semplici telefonate.
Come funziona il phishing?
Chi vuole sferrare un attacco di phishing generalmente ricorre ad una metodologia standard che prevede diverse fasi. La prima, consiste nell’inviare alle vittime dei messaggi di posta elettronica contenenti delle informazioni (e magari anche dei loghi) tali da sembrare, allo stesso tempo, il più possibile familiari e allettanti.
Per far sì di essere credibile, il messaggio ricevuto informa l’utente (guarda caso non chiamandolo mai con il proprio nome) simulando delle situazioni che possono verificarsi realmente come, ad esempio, la scadenza di una password, l’accettazione dei cambiamenti delle condizioni contrattuali, il potenziale rinnovo della carta prepagata o di credito (come, ad esempio, Postepay, CartaSi, Visa o Mastercard), dei problemi inerenti accrediti, addebiti o trasferimenti di denaro su conti online (come PayPal, MoneyGram o Western Union), la mancata, incompleta o errata presenza di informazioni (che riguardano Poste italiane ma anche gli account Google, Facebook o Twitter), la presenza di offerte di lavoro particolarmente interessanti (che magari invitano ad inserire le coordinate bancarie per far sì di essere i primi a beneficiarne) ed altre usuali cose del genere. Una volta quindi catturata l’attenzione dell’utente, il messaggio (contenente un allegato o un collegamento) permette di effettuare l’accesso sul sito Internet, che assomiglia (il più possibile) a quello ufficiale, con la speranza che questo inserisca username, password e/o altre informazioni che possano rivelarsi utili.
Se a questo punto l’ignaro utente “abbocca all’amo”, il phisher (cioè il malintenzionato) potrà disporre come gli pare e piace dei dati in suo possesso con tutte le spiacevoli conseguenze del caso.
Come difendersi dal phishing?
Purtroppo, oltre al phishing, esiste un’altra tecnica che viene utilizzata per avere accesso ad informazioni personali e riservate. Questa tecnica viene chiamata pharming ed ha, praticamente, lo stesso scopo del phishing (ovvero quello di carpire dati sensibili) solamente che cerca di metterla in pratica attraverso altri metodi: il primo, variando i server DNS dell’ISP, il secondo, mediante l’uso di particolari programmi chiamati trojan. A prescindere comunque dalla tecnica usata dai malintenzionati, per difendersi dal phishing o dal pharming, basta seguire pochi ma semplici consigli:
- Verifica la provenienza del messaggio e leggilo attentamente perché potrebbero esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi farti insospettire;
- Non cliccare mai sui collegamenti e non scaricare/aprire mai gli allegati presenti nel messaggio. Inoltre, se proprio vuoi contattare (o raggiungere) la presunta fonte, fallo direttamente e non attraverso il messaggio che ti è stato inviato;
- Controlla sempre l’URL del sito che compare nella barra degli indirizzi e non lasciare mai troppe tab aperte nel tuo browser (altrimenti potresti essere vittima di una tecnica chiamata tabnabbing);
- Verifica periodicamente i movimenti del conto e, se è possibile, attiva il servizio di SMS alert che ti informa non appena avvengono dei movimenti di denaro;
- Blocca subito eventuali pagamenti sospetti e non riscuotere degli accrediti che non hai mai richiesto (altrimenti potresti essere persino accusato di riciclaggio);
- Infine, se noti la presenza di email sospette, segnalalo al proprietario del servizio di posta elettronica (basta contrassegnare il messaggio come spam). Se invece noti la presenza di siti sospetti sarebbe il caso di fare una denuncia alle autorità competenti (o quantomeno informare la vera fonte): in questo modo aiuterai te ma anche gli altri.
Oltre a seguire questi semplici consigli, per difenderti dai siti di phishing, dai falsi certificati SSL (che consentono di verificare l’attendibilità o meno di un sito) ed anche dal cross-site scripting (a volte indicato con XSS), tieni il tuo browser preferito sempre aggiornato e magari installa un’estensione gratuita come quella offerta da Netcraft (compatibile con Mozilla Firefox, Google Chrome ed Opera) che aiuta a riconoscere questi potenziali rischi e, tra le altre cose, permette anche di segnalare degli URL sospetti. Una volta installata questa estensione, per utilizzarla non dovrai fare altro che cliccarci sopra: in questo modo saprai delle utili informazioni sul sito web che stai visitando (e, se sarà il caso, ti impedirà a priori di aprirlo).
Arrivati a questo punto dovresti aver capito che cos’è, come funziona e, soprattutto, come difenderti dal phishing.