di Andrea Carboni
Cos’è il phishing e come difendersi dai truffatori online che utilizzano questa pratica.
Natale è alle porte, e con esso gli acquisti (specialmente online) crescono a dismisura. Purtroppo si tratta del periodo migliore per i truffatori, pronti in agguato a inviare email fraudolente, pubblicare annunci falsi e realizzare finti negozi online con il solo scopo di accumulare migliaia di euro e poi sparire nel nulla.
Uno dei nostri obiettivi con eShoppingAdvisor è infatti quello di contribuire a rendere il web un luogo sempre più sicuro per fare acquisti, e allo stesso tempo informarti in modo che tu possa difenderti dalle truffe e prevenirle adeguatamente. Uno dei metodi maggiormente utilizzati dai truffatori del web è sicuramente il phishing. Ma di che cosa si tratta nello specifico? Oggi andremo ad analizzare proprio questa metodologia di frode online e, naturalmente, di diremo anche in che modo difenderti.
Cos’è il phishing informatico?
Il phishing è un tipo di attacco di ingegneria informatica spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso (password e user ID) a un conto in banca o a un app e i numeri della carta di credito. Si verifica quando un aggressore, mascherato da un’azienda o un ente di fiducia (ad esempio Poste Italiane, PayPal, un istituto di credito etc.), inganna una vittima inviando un’e-mail, un messaggio istantaneo o un messaggio di testo.
Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o all’invito alla rivelazione di informazioni sensibili.
Quali sono le conseguenze del phishing?
Un attacco può avere risultati devastanti. Chi cade nella trappola subisce acquisti non autorizzati, il furto di denaro o il furto di identità. Inoltre, il phishing è spesso utilizzato per accedere a reti aziendali o governative e attuare un attacco più ampio, come ad esempio una minaccia persistente avanzata (APT). In quest’ultimo scenario, i dipendenti vengono compromessi per aggirare i parametri di sicurezza, inviare malware all’interno di una rete aziendale o ottenere un accesso a dati protetti. Un’azienda che soggiace a un attacco di questo tipo subisce in genere gravi perdite finanziarie, ma anche il calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing può trasformarsi in un incidente di sicurezza da cui un’azienda avrà forti difficoltà a riprendersi.
Come riconoscere un tentativo di phishing in modo da non cadere nella trappola?
Prendiamo l’esempio più comune che sta dilagando negli ultimi tempi: le email da (false) Poste Italiane. Un’email falsificata apparentemente inviata da Poste Italiane, con tanto di logo (ma l’indirizzo mail non coincide assolutamente con quello dell’azienda), viene distribuita in massa a tantissimi indirizzi di posta elettronica. L’e-mail segnala un errore nel conto BancoPosta, e chiede di cliccare su un link in modo da inserire le credenziali e i dati relativi al conto al fine di “verificare la correttezza dei dati” entro un determinato periodo di tempo, per esempio 24 ore.
Facendo clic sul link possono verificarsi diverse cose. Ecco le principali:
- Vieni reindirizzato a una pagina fasulla che appare esattamente come il vero sito di Poste Italiane, nella quale è richiesto l’inserimento sia di una password nuova che di quella esistente. L’aggressore, monitorando la pagina, intercetta la password originale per accedere alle aree protette del tuo conto.
- Vieni indirizzato alla pagina di rinnovo della password vera e propria. Tuttavia, durante il reindirizzamento, uno script dannoso si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco XSS riflesso, dando all’autore del reato un accesso privilegiato al tuo conto.
Altri esempi di phishing sono ad esempio mail da PayPal (ovviamente false) che ti spingono all’inserimento della password del tuo conto PayPal, oppure messaggi di posta da parte di un finto Amazon che richiedono le credenziali del tuo account.
L’obiettivo è tendenzialmente lo stesso: rubare denaro dal tuo conto postale, bancario o dalla tua carta di credito.
Come prevenire il phishing.
La protezione dagli attacchi di phishing richiede l’adozione di apposite misure di prevenzione. Quando ti arriva una mail, specialmente a un account soggetto a spam come un indirizzo Outlook, la vigilanza è fondamentale. Un messaggio contraffatto contiene spesso sottili errori che ne rivelano la vera identità. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come un indirizzo web non corrispondente a quello del sito dell’azienda reale o una mail improbabile per un ente o un’azienda. Inoltre, ti consigliamo di utilizzare l’autenticazione a due fattori (2FA). Si tratta del metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni e siti web in cui sono contenuti dati sensibili. Con l’autenticazione a due fattori è possibile accedere a un sito o un’app non solo inserendo nome utente e password, ma anche confermando la propria identità con un codice di sicurezza (inviato a un indirizzo mail o, preferibilmente, al numero di cellulare), con l’impronta digitale o con una notifica sullo smartphone in cui per poter accedere si deve cliccare sul bottone “Sì”. In questo modo l’uso delle loro credenziali non è sufficiente per ottenere l’accesso.
Se ricevi mail da parte di un istituto bancario, postale o da un sito come PayPal o Amazon in cui ti viene richiesto improvvisamente (per via di misteriosi “problemi”) di cliccare sul link e inserire i tuoi dati… Beh, non fare ciò che ti viene chiesto. È praticamente impossibile, a meno che tu non abbia iniziato la procedura di ripristino della password, che questi istituti ed enti inviino email per ottenere dati dai propri clienti.
Qualora avessi un dubbio contatta direttamente l’assistenza dell’organizzazione o dell’ente in modo da avere conferma – o magari smentita – del tentativo di phishing.
In conclusione
I tentativi di phishing sono, purtroppo, molto frequenti e giocano sulle debolezze delle persone. Da oggi, però, sai come riconoscerli e come prevenirli, e siamo sicuri che non cadrai nella trappola.
Cosa fare però se è già successo?
Non cancellare la mail fraudolenta e ottieni le prove della truffa (per esempio stampando il tuo estratto conto). Vai sul sito della Polizia Postale e fai una denuncia per reati telematici, poi recati dai Carabinieri della tua città e denuncia la truffa anche a loro.
Speriamo che tutto si risolva per il meglio e che tu riesca a recuperare il denaro frodato. Ma non perdere la fiducia nel web e non smettere di acquistare online: sarebbe come non uscire di casa per la paura dei ladri!
Vedrai che con qualche attenzione e verifica in più non incorrerai in altri problemi.