Il phishing è la modalità di truffa più diffusa su internet. Consiste nell’invio massivo di messaggi via e-mail o cellulare con lo scopo di persuadere le potenziali vittime a fornire informazioni o compiere azioni utili all’aggressore.
Tra gli obiettivi più comuni del phishing ci sono:
Come si può intuire, le conseguenze di questi attacchi possono essere molto gravi, e ogni giorno i cyber-criminali diventano sempre più bravi a ingannare le loro vittime. A livello mondiale ci sono stati 4,7 milioni attacchi phishing nel 2022, e questo dato è in continua crescita.
Le grandi compagnie del settore Internet e Telecomunicazioni sono brave a identificare i tentativi di truffa; ma non lo sono ancora abbastanza. Secondo uno studio dell’Università di Stanford, la migliore arma per difendersi dai tentativi di phishing è l’intelletto umano.
In altre parole: per non cadere vittima di phishing, il modo migliore è imparare a riconoscere le modalità e le caratteristiche che accomunano molti tentativi di frode online. Con l’esperienza, alcuni messaggi appariranno subito strani ai nostri occhi ed eviteremo di dar loro attenzione.
Ma vediamo quali sono i tentativi più comuni di phishing e come possiamo riconoscerli.
Quando effettuano i loro tentativi di phishing, i truffatori tentano di attirare la nostra attenzione facendo leva su un problema imminente, che richiede intervento immediato. La loro speranza è che, presi dal panico, compiamo l’azione che a loro interessa, senza fare caso agli indizi che svelerebbero la vera natura del messaggio.
Tra i messaggi più popolari che usano i cyber-criminali ci sono varianti dei seguenti titoli:
Quando il messaggio di phishing contiene un collegamento che ci porta a un sito esterno, in genere la pagina che vediamo ha un aspetto molto simile a quello legittimo… ma con alcune piccole differenze che possono aiutarci a scovare l’inganno.
Il primo luogo dove guardare è l’URL, ovvero l’indirizzo del sito: facciamo molta attenzione a cosa c’è scritto nella barra degli indirizzi. Potremmo scoprire che alcune lettere sono scambiate di posto, o che il sito è composto unicamente da una pagina: quella che chiede i nostri dati.
Un altro grosso campanello d’allarme sono gli errori grammaticali: facciamo sempre attenzione a sintassi e refusi. Anche le grandi aziende, a volte, si sbagliano e inviano un messaggio con qualcosa fuori posto; ma se già nel titolo dell’e-mail notiamo espressioni o costrutti strani, meglio non agire d’impulso e leggere bene quanto ci è stato recapitato.
Un altro consiglio è: fare mente locale. Siamo davvero esposti a un potenziale pericolo o perdita?
Ad esempio, molte email di phishing sfruttano il fatto che, sulle molte persone a cui inviano i propri messaggi, ce ne sarà sicuramente qualcuna che sta aspettando un pacco. Prima di tutto, chiediamoci se NOI lo stiamo effettivamente aspettando; se non è così, è molto probabile che quello a cui ci troviamo davanti sia un tentativo di frode. Se invece attendiamo una consegna, controlliamo sul sito ufficiale o l’app dove abbiamo effettuato l’acquisto, e prima di fare qualsiasi cosa chiediamo al venditore o al corriere se effettivamente c’è un problema con la nostra spedizione.
Infine, e questo è un consiglio che vale sempre, ricordiamoci che banche, assicurazioni e altri istituti che hanno a che fare con i nostri dati finanziari non chiedono MAI di fornire informazioni personali e/o sensibili attraverso messaggi via mail, cellulare, o (addirittura!) social network e app di messaggistica come Facebook o WhatsApp.
Oltre che nella posta elettronica, consultabile anche tramite telefonino, i messaggi di phishing possono raggiungerci anche tramite SMS o applicazioni come quelle di messaggistica, tra cui WhatsApp, Telegram o Signal.
Le tematiche su cui fanno leva i truffatori sono sempre le medesime: questioni urgenti, da risolvere il prima possibile.
I tentativi di phishing via SMS contengono sempre un link a una pagina web.
Ecco alcuni esempi:
• La tua carta di credito è stata bloccata. Clicca qui per sbloccarla.
• Hai un nuovo ordine da [NOME]. Clicca qui per confermarlo.
• Il tuo account Amazon è stato sospeso. Clicca qui per riattivarlo.
• Hai vinto un premio! Clicca qui per riscattarlo.
• Il tuo smartphone è infetto. Clicca qui per scansionarlo.
Anche in questo caso, il consiglio è quello di prestare attenzione al mittente – e in modo particolare al suo numero di telefono. Infatti, non è raro che i truffatori riescano ad apparire nella nostra rubrica telefonica come se fossero aziende o istituti legittimi (specialmente corrieri delle consegne o banche).
Come abbiamo capito, dobbiamo assolutamente evitare di cliccare sul link. Mettiamo il mittente in blacklist (cioè nella lista nera dei numeri che non potranno più contattarci) e, se necessario, cancelliamo il messaggio.
I tentativi di phishing sono più rari sulle app di messaggistica, ma teniamo sempre gli occhi aperti per tentativi di truffa.
Se riceviamo messaggi “fuori dall’ordinario”, facciamo attenzione prima di rispondere alle richieste del mittente. Poche domande possono aiutarci a scoprire un tentativo di da parte di malintenzionati che magari si stanno facendo passare per familiari i conoscenti in difficoltà:
Attenzione anche agli account che si spacciano per noti supermercati o grandi brand: è altamente improbabile che queste realtà utilizzino account di messaggistica per contattare i loro clienti senza prima averli avvisati in qualche modo.
Se capiamo che chi ci scrive non ha buoni propositi, segnaliamo il contatto come molesto e smetteremo di ricevere i suoi messaggi.
I social network come Facebook sono spesso utilizzati per diffondere virus o accedere in modo fraudolento ai dati degli utenti. La maggior parte dei tentativi di truffa avviene tramite i messaggi diretti (DM) o le chat interne alla piattaforma.
In questo caso, le modalità di phishing hanno molto in comune con quelle utilizzate tramite i tradizionali messaggi di posta elettronica. In questo scenario, il cyber-criminale farà finta di essere un dipendente del social network e farà leva su possibili chiusure del nostro account e delle nostre pagine, oppure tenterà di farci scaricare un file maligno.
• Il tuo account Facebook è stato sospeso. Clicca qui per riattivarlo.
• Il tuo account Facebook è stato compromesso. Clicca qui per proteggere i tuoi dati.
Per riconoscere un messaggio-truffa sui social, a volte abbiamo a disposizione anche un’arma in più: la lingua del messaggio stesso. Molto spesso, i tentativi di phishing avvengono su scala massiva, senza curarsi troppo di adattarli al singolo utente. Il risultato è che il messaggio-spam sarà scritto in lingua inglese (a volte con errori grammaticali…), anche se la lingua con cui utilizziamo la piattaforma è diverso: questo è un errore che un account ufficiale non commetterebbe mai.
Una volta capito che il messaggio ricevuto è un tentativo di truffa, non dovremo fare altro che segnalarlo come spam e bloccare il contatto.
Nel caso in cui abbiamo aperto i link contenuti nel messaggio phishing prima di renderci conto della sua vera natura, dobbiamo comportarci in modo diverso a seconda di quali erano gli intenti del cybercriminale.
Ecco alcuni esempi:
Ovviamente esistono molti altri possibili scenari, a seconda del mezzo tramite cui riceviamo messaggi e che possibilità hanno i cyber-criminali di interagire con noi.
Il consiglio finale che posso dare è quello di tenere sempre aggiornati i software e le app installate sui nostri dispositivi, in particolare quelle relative alla sicurezza. Se frequentiamo i social, invece, è una buona idea proteggere il nostro account abilitando l’autenticazione in due fattori: in questo modo, anche se un malintenzionato scoprisse la nostra password, non potrebbe comunque accedere ai nostri dati in quando sprovvisto (si spera!) del codice arrivato sul nostro smartphone.
