Il phishing (letteralmente “pescare”) è una diffusa tecnica di frode informatica, volta a rubare l’identità informatica degli utenti ignari.
Il phishing consiste nel richiedere dati sensibili come password, chiavi di sicurezza dell’home banking, pin di accesso, tramite siti internet ed email fraudolente studiate apposta per simulare l’ambiente del reale mittente, come ad esempio il sito di una banca o delle poste. Spesso questi siti vengono clonati e gli utenti, trovando familiarità nella grafica e nelle funzioni, inseriscono le informazioni richieste dopo essere stati reindirizzati su questi portali da false comunicazioni della banca.
Quante volte vi è capitato, ad esempio, di ricevere una email dalla banca “Unicredit” chiedendo di confermare i vostri dati di accesso, quando in realtà voi non avete mai avuto un conto corrente li? Ebbene, questo è un tentativo di phishing.
Esistono diverse procedure per verificare la correttezza dei siti da noi frequentati ed evitare di diventare una vittima di questo sistema fraudolento.
In genere il phishing parte tutto da una email inviata da un indirizzo fasullo che magari riporta il nome della banca (ad esempio, no-reply@unicredit.it). Anche se il mittente è unicredit, esistono tecniche per poter simulare l’invio di una email da un altro indirizzo.
Nel corpo del messaggio verrà chiesto di confermare i propri dati di accesso, verificare la correttezza delle informazioni, oppure si viene allertati che il nostro conto corrente è stato bloccato per un tentativo di accesso da parte di malfattori, e quindi è necessario entrare nel proprio account per confermare la vostra identità.
Verrete dunque invitati a fare click sul link della banca tramite un pulsante. Ed è proprio qui la frode… guardate l’immagine sotto riportata:
Come potete notare, abbiamo ricevuto una email dal Servizio Clienti (di chi non si sa) dove ci viene richiesto di completare la procedura di verifica per il nuovo sistema di protezione dati (?!?). Veniamo invitati a cliccare sul link titolari(dot)cartasi(dot)it ed inserire i nostri dati altrimenti l’accesso verrà bloccato. Posizionandoci con il mouse sul link (senza cliccare) noteremo la reale estensione del sito internet in basso a sinistra (riquadro indicato con freccia rossa). Ebbene quello sarà il reale sito internet che andremo ad aprire, clonato a dovere per grafica e funzioni con il vero sito.
Inserendo i dati di accesso della nostra carta si (perché convinti di essere stati contattati dalla direzione clienti) automaticamente un software malevolo accederà con i nostri dati sul reale conto corrente / conto postale ed invierà una piccola somma di denaro ad un conto anonimo.
Perché una piccola somma di denaro?
La risposta è semplice… quando si invia un pagamento tramite la banca online, in genere è possibile annullarlo entro 24/48 h dall’operazione. Se fosse stata inviata una somma di denaro di 1.500-2.000€ ce ne accorgeremo subito, senza contare che alcune banche avvisano tramite sms il cliente solo per importi superiori ad una certa cifra (ad esempio, da 500,00€ in su). Inviando invece una somma di 57,50€ oppure 108€, inconsciamente potremmo pensare che si tratta di qualche pagamento precedentemente fatto, un acquisto online, oppure potrebbe semplicemente sfuggire alla vista “coperto” dalle altre uscite di piccola entità.
Ci sono alcuni modi per evitare di essere coinvolti nel phishing, e sono:
1) Fare attenzione al testo dell’email: grandi società come banche e poste in genere hanno sempre nella firma tutti i contatti utili in caso di problemi o segnalazioni. Inoltre sono obbligati per legge ad inserire delle condizioni di privacy in fondo al messaggio di posta elettronica.
2) Le banche e gli istituti non chiederanno mai di confermare username e password tramite email. Il solo fatto che vi venga chiesto, è una possibile e quasi certa frode di phishing.
3) Qualora aveste un dubbio sulla provenienza di una email e vi viene richiesto di accedere per aggiornare i vostri dati o per qualunque altro motivo, non cliccate direttamente il link che vi viene proposto ma apritelo in una nuova pagina internet e digitate direttamente l’indirizzo dell’istituto di vostro interesse. Se ci sono segnalazioni, le potrete vedere li. (guardare l’immagine di esempio dove il sito web indicato non corrisponde con quello nel suo link).
4) Molte email di phishing vengono da paesi stranieri e spesso il testo viene tradotto con l’ausilio di software online. Quindi se il testo italiano di una email inviata da una banca non vi convince, prima di accedere alla pagina richiesta effettuate i controlli sopra descritti.
5) Non rispondere mai alle email fraudolente, inviando dati sensibili richiesti. Gli istituti in caso di problemi con la nostra anagrafica, vi contatteranno e vi chiederanno di passare nelle relative agenzie per aggiornare eventualmente i dati, e mai per email.
Articolo a cura di Giampaolo Ribaldi.
