“Complimenti, il tuo account Amazon è stato selezionato ed hai vinto un Samsung Galaxy S21 Pro, accedi qui per ottenerlo ora”. A seguire un link molto corto che termina con: amzPremio.
Messaggi di questo tipo arrivano continuamente, almeno uno a settimana. Sui software di messaggistica istantanea, nei banner dei siti non sicuri, nelle e-mail…
Per fortuna so che non ho vinto nulla e so che cliccando su quel link potrei acconsentire all’installazione di un software “malefico” (malware) che andrebbe a trasmettere a terzi tutti i miei dati personali, compresi i dati di accesso ai miei servizi principali, banche comprese, o addirittura i dati delle mie carte di credito, arrivando addirittura a bloccare il telefono o il pc.
Si chiama “phishing”, ed è la tecnica con cui i truffatori informatici “pescano” ingenui utilizzatori del Web.
Gli attacchi phishing sembrano essere, attualmente, i preferiti, proprio perché i sistemi di messaggistica sono ancora il mezzo di comunicazione più utilizzato dagli utenti e perché è proprio tramite questo sistema che banche, negozi on-line e siti Web comunicano con noi.
Sono, infatti, circa 4 miliardi gli utenti di posta elettronica e messaggistica in tutto il mondo, e ogni anno gli attacchi phishing aumentano di oltre il 200%!
Giornalmente riceviamo pubblicità, spam e molte fake news e, con esperienza, molti di questi messaggi riusciamo a cancellarli direttamente senza aprirli o a spostarli nella cartella spam.
Ci sono, però, alcuni messaggi, ad esempio quelli provenienti dalla nostra banca, dalle poste, dall’assicurazione, dall’Agenzia delle Entrate, dall’Inps, dal nostro sistema preferito di pagamento digitale, che ci risultano a prima vista importanti e, una volta aperti, ci sembrano talmente familiari per grafica e contenuti che rischiamo di cadere in tranello.
Punta proprio su questo il phishing: far credere all’utente di trovarsi nel sito sempre utilizzato, visualizzando pagine Web sempre più somiglianti a quelle originali e indurlo, così, a inserire i dati di autenticazione (normalmente e-mail e password), che poi verranno presi, rubati e utilizzati da terzi.
Uno dei casi di phishing più noti in Italia è quello che ha preso di mira Poste Italiane. Furono inviati agli utenti messaggi sia SMS che e-mail, con lo scopo di sottrarre agli utenti i numeri delle carte di credito e le credenziali per accedere ai conti correnti.
I messaggi dietro i quali si nascondeva questa frode erano diversi e arrivavano continuamente all’utente: in alcune e-mail si comunicava alle vittime che stava per essere disattivato il conto corrente, in altre che doveva essere sbloccato un accredito in sospeso. In tutti i casi veniva, comunque, richiesto all’utente di inserire i numeri delle carte di credito o le credenziali di accesso a conti online.
Casi come questi succedono ogni istante il tutto il mondo, continuamente e costantemente.
La cosa fondamentale è ricordare sempre che una banca, o un qualsiasi servizio di utilità, non chiederà mai di fornire via mail le credenziali.
Il phishing via WhatsApp e Facebook è una evoluzione inevitabile, dato il massivo utilizzo dei servizi di messaggistica offerti dai social network. Meglio non fidarsi dei messaggi sospetti che circolano nelle chat e che si nascondono dietro a finti buoni sconto del centro commerciale, a premi o servizi vinti da una fantomatica lotteria del nostro negozio di fiducia.
Rispetto a quelle via e-mail, queste truffe possono trarre in inganno con più facilità, perché vengono condivise in chat di conoscenti, parenti o amici e, aprendo link fasulli, il cellulare può essere infettato da un virus che consentirà l’accesso al nostro smartphone da remoto a qualche hacker e che, in automatico, invierà lo stesso link a tutti i nostri contatti.
Il phishing telefonico o via SMS, forse il più “datato” dei precedenti, utilizza canali più diretti: si ricevono chiamate o SMS da numeri sconosciuti o “camuffati” che chiamano per conto di un’azienda, chiedendo urgentemente all’utente di fornire dei dati. Anche se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.
Non fornite mai informazioni sensibili al telefono, e non fidatevi mai di e-mail che contengono link. Sempre meglio controllare i propri account direttamente sui siti ufficiali.
Nei casi di phishing più grossolano, le e-mail contengono piccoli errori di ortografia, o piccole variazioni del nome del presunto mittente o del servizio. Ad ogni modo è sempre bene controllare l’indirizzo di provenienza di queste e-mail, poiché quasi sempre è differente da quello ufficiale.
Un pagamento da saldare immediatamente, un premio da ritirare entro poche ore o la possibilità che un account venga cancellato se non si paga subito la quota richiesta… In presenza di un messaggio urgente di questo tipo possiamo pensare, quasi sempre, che si possa trattare di una truffa.
La presenza di allegati con un’estensione insolita, o non prevista, deve sempre mettersi in allarme. Oltre ad un attacco phishing, potremmo essere bersaglio di un attacco virus, con quei file.
I messaggi che ci avvisano di aver vinto premi, anche in denaro, sono quasi sempre fasulli: uno smartphone in regalo, l’eredità di un lontano parente o la vincita ad una fantomatica lotteria devono essere sempre campanelli d’allarme!
Gli hacker sono sempre più esperti e utilizzano metodi sempre più difficili da riconoscere…
Facciamo attenzione.