Skip links

infonotizianews

Intestazione destra

Tu sei qua: Home / Tecnologia / Phishing: cos’è e come difendersi da un furto dati

Phishing: cos’è e come difendersi da un furto dati

Con l'avanzare della tecnologia si sono evoluti anche le tecniche per rubare i dati agli utenti: una di queste è il phishing. Ecco come funziona e come ci si può difendere.

avatar

di 2 Commenti

Ultimo aggiornamento:

1 Condivisioni
Share
Tweet
Share
WhatsApp
Email

phishing

“Dopo un attacco di phishing fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail stessa.” Fonte: techeconomy.it

È questo l’incredibile risultato di un test di phishing svolto da Cefriel su 40.000 dipendenti e più di 20 imprese in tutta Europa. Un dato che fa riflettere su quanto potenti siano le mail truffa e come, ancora oggi, molti cadono nella trappola. Ma come ci si può difendere dal phishing? Come funziona un attacco di questo tipo?

Cosa significa phishing?

Con il termine phishing si identifica una vera e propria truffa informatica ai danni dell’utente che avviene attraverso l’invio di e-mail (ormai sempre più raramente anche attraverso SMS). In genere il contenuto di un messaggio phishing risulta molto simile alle comunicazioni che inviano enti affidabili come istituti di credito, le Poste, società di commercio elettronico, di transazioni online, compagnie telefoniche.

Phishing è una parola che deriva dal termine fishing che in inglese letteralmente significa pescare e dal mix col termine phreaking terminologia gergale che indica l’azione di persone che studiano, sperimentano i telefoni (in gergo italiano forse li definiremmo ‘smanettoni’) ma, in questo contesto, si intende quindi anche chi attraverso l’uso di telefoni cerca di “pescare” dati. È probabile inoltre che per pronuncia, la lettera ‘f’ è stata trasformata in ‘ph’.

La grafica accattivante e molto simile a quelle originali, un testo che comunica rischi per la propria sicurezza o interventi di ordine tecnico, indicono l’utente a dare fiducia al malintenzionato di turno comunicando e fornendo dati personali o riservati come ad esempio il numero della carta di credito, password di accesso a servizi di home banking.

I colossi del web e dei social network a rischio phishing

Il phishing è davvero una minaccia quotidiana e attuale. Se consideriamo la mole di dati che i grandi colossi del web come ad esempio Linkedin, Facebook (che ricordiamo essere parte del grande macro cosmo composto anche da WathsApp e Instagram), Twitter o Google detengono è facile pensare come siano davvero dei “luoghi” ambiti dagli hacker che cercano ogni giorno di accedere a questi dati con attacchi più o meno riusciti, per rubarli e utilizzarli in modo fraudolento.

Dico “più o meno riusciti” perché se è vero che gli attacchi ai fini di phishing sono sempre più frequenti è anche vero che esiste un grande tema sentito e applicato soprattutto da questi colossi: la sicurezza informatica.

Come avviene un attacco phishing?

Se le azioni di hacker per carpire i dati sono sempre più raffinate, la metodologia per carpire i dati all’utente presenta spesso molte similitudini e avviene generalmente in questi step.

  1. il phisher (dopo essere entrato in possesso dell’indirizzo e-mail in modo fraudolento) invia una mail all’utente che assomiglia per grafica e contenuto lo standard comunicativo di un istituto noto (banche, istituti di credito, Stato, Agenzia delle entrate…);
  2. Il testo di una e-mail di phishing contiene molto spesso avvisi di problemi tecnici o pericoli legati ad esempio al proprio conto corrente bancario, alla propria situazione con l’agenzia delle entrate, alla sicurezza personale e ai dati, ad aggiornamenti sull’antivirus e ad esse annessi come password e codici;
  3. L’utente a quel punto è invitato a cliccare e seguire un link per accedere alla pagina che gli permetterà di sistemare il problema;
  4. Una volta cliccato il link possono accadere due cose che in modo molto sintetico e semplice possono essere riassunte così:
    1. caso 1: il link scarica inconsapevolmente un software, un virus, che permette all’hacker di prendere possesso dei dati di accesso alle varie piattaforme e ai siti presenti e registrati sul nostro PC
    2. caso 2: l’utente viene indirizzato a un sito finto, sempre comunque simile a quello dell’istituto che presumibilmente ha inviato la comunicazione. Questo sito è appoggiato su un server di proprietà di phisher.
  5. A questo punto vengono richiesti i dati personali di identificazione per accedere alla piattaforma e spesso se ne richiede addirittura la conferma;
  6. A questo punto i nostri dati sono finiti nelle mani sbagliate e saranno utilizzati in modo fraudolento per rubare e trasferire somme di denaro, acquistare prodotti o servizi online.
Phishing: cos'è e come difendersi da un furto datiPhishing: cos’è e come difendersi da un furto dati http://bit.ly/2dDAVeX via @6sicuro

Tipi di attacco phishing

In gergo tecnico sono state definite diverse tipologie di phishing, tra queste le più frequenti sono quattro.

Spear phishing

Attacco mirato su un individuo o su una compagnia. Gli hacker ne studiano preventivamente movimenti e attività per arrivare a colpire in modo preciso. Questa tecnica rappresenta il 91% delle tipologie di attacchi.

Clone phishing

Gli hacker riescono ad entrare in possesso di una mail reale con allegati. La modificano, la reinviano agli utenti chiedendo di cliccare su un link o su un allegato per leggere la versione aggiornata del contenuto .

 Whaling

È il phishing indirizzato a figure come manager di spicco nelle aziende. Ben strutturate, dal contenuto diretto, personalizzato, specifico e di carattere legale inducono la persona a credere nella veridicità.

Manipolazione di parole, link, nome mittente e indirizzo email

Tra i più utilizzati verso utenti comuni. Spesso per prevenire un attacco infatti basterebbe porre attenzione al nome del link o all’indirizzo e-mail del mittente. Un esempio: http://www.nomedellatuabanca.esempio.it può certamente indurre in tranello, ma è semplicemente il nome di un dominio fittizio.

Se il mittente è designato come un utente generico “UFFICIO CONTROLLI FISCALI”, basterà verificare l’indirizzo e-mail per accorgersi che spesso quelli utilizzati per phishing non centrano nulla con l’istituto che ha inviato la mail oppure, ancora una volta possono sembrare simili. Per intenderci: [email protected] è un indirizzo che è impossibile provenga proprio dalla tua banca.

Come difendersi dagli attacchi di phishing?

  • Formati e informati
    Innanzitutto cerca di informarti per capire come reagire e non cascare in questi tranelli.
  • Non cliccare su link strani e impara a riconoscerli
    Istituti di credito, banche, siti, applicazioni e software NON inviano mai mail per chiederti dati. Quando ti iscrivi a un sito e non ricordi più la password cosa fai? Clicchi il tasto ‘richiedi password’ e ti arriva una mail. Ecco, solo in quel caso sei certo che l’attività è legale perché tu stesso l’hai richiesto.In calce a queste mail cosa trovi scritto? Una frase che più o meno dice così: “se non sei stato tu a richiedere una nuova password, cestina il messaggio e non aprire i link”. Nessuno ti chiederà mai dati personali attraverso e-mail, tantomeno la tua banca.
  • Non cliccare o aprire nulla senza prima aver verificato il testo link e l’indirizzo email del mittente
    Impara a leggere e a decifrare ogni elemento di comunicazioni che ti sembrano strane. http://www.nomedellatuabanca.esempio.it è un link fittizio che non riporta alla tua banca che invece avrà un dominio come http://www.latuabanca.it

    Se l’Agenzia delle Entrate manda una comunicazione, com’è possibile che l’indirizzo e-mail del mittente sia su una piattaforma generica come Yahoo o Gmail? Com’è possibile ricevere mail da indirizzi come [email protected]?
  • Fai attenzione al testo e verifica sempre il dominio ufficiale dell’istituto che ti sta scrivendo prima di cliccare il link
    Spesso una lettera in più o in meno denota che il mittente non sia realmente chi dichiara di essere. Esempio: il sito ufficiale dell’Agenzia delle Entrate è http://www.agenziaentrate.gov.it/ e un attacco phishing potrebbe arrivare quindi da un dominio tipo http://www.agenziadelleentrate.it
  • Installa software anti phishing e proteggi i tuoi siti
    Gli sviluppatori sono ormai molto ferrati e propongono soluzioni adatte a tutti i livelli: dall’utente privato alle grandi aziende. La maggior parte dei siti oggi è protetto dal codice denominato SSL, così come servizi di Anti-phishing spesso vengono proposti direttamente dagli sviluppatori di software e dagli stessi gestori di e-mail (comprese le aziende che possiedono server su cui appoggiamo i nostri siti).

Anche i browser per la navigazione ci vengono spesso in aiuto impostando alert e bloccando siti potenzialmente non sicuri, su cui magari navighiamo anche inconsapevolmente. Inoltre è possibile creare l’elenco di siti noti per phishing bloccandoli.

  • Software e gestione anti phishing delle e-mail
    Le più comuni piattaforme per la gestione delle e-mail, forniscono i software con implementazioni atte a filtrare messaggi potenzialmente dannosi (sia come phishing o come spam). Inoltre, sempre più spesso, è il fornitore stesso dell’hosting e quindi il proprietario dei server su cui si appoggiano le aziende per pubblicare e gestire la propria attività nel web (siti e e-mail) a fornire filtri che selezionano messaggi mettendoli in cartelle spam e inserendo i relativi indirizzi e-mail in black list che bloccheranno il messaggio alla fonte.
  • Attiva i controlli di sicurezza e l’invio di mail o SMS
    Un’attività ulteriore che puoi applicare e che in genere forniscono ormai tutte le banche è quella di attivare l’invio di un messaggio via posta elettronica o via SMS per ogni transazione che viene confermata sui tuoi conti online. O ancora quando devi confermare una disposizione puoi inserire codici univoci che vengono creati da dispositivi elettronici forniti dal tuo istituto.

Cosa fare se si è vittime di phishing?

Se, nonostante le precauzioni prese, ti accorgi di essere stato vittima di phishing, contatta subito il tuo istituto di credito e fai denuncia alle autorità preposte. Visti i numerosi attacchi, sono sempre più spesso le iniziative che mirano a riaddebitare le cifre prelevate senza il consenso dell’utente.

La sicurezza dei tuoi dati è un’attività che deve essere garantita dall’azienda e dalla persona che li detiene: non avere paura a chiedere info o spiegazioni su e-mail che ti sembrano strane. In caso di dubbi prima di agire alza la cornetta perché in questi casi, una telefonata non arriva a salvarti la vita, ma certamente il conto in banca sì.

Interazioni Lettore

Commenti

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

  1. Utilissimo articolo. Aggiungerei che fortunatamente ancora oggi queste truffe sono talvolta riconoscibili da errori di sintassi e grammatica, inamissibili da parte di veri funzionari addetti alla comunicazione aziendale. Insomma gli autori pagano lo scotto della loro zingaresca presunzione d’essere grandi conoscitori delle lingue straniere (di cui fanno in realtà scempio) e soprattutto sagaci truffatori e di ritenere gli altri tutti fessi o ignoranti (però considerati gli strafalcioni di conduttori radio-televisivi, politici e uomini di teatro v’è da chiedersi se non abbiano un po’ di ragione nel pensarlo)

    Evidenzio infine che, a mio parere giustamente, sul web si usa ancora il termine originario fishing (vedi ad es. https:// verytech.smartworld. it/ come-difendersi-dal-fishing-57934.html) che in alcuni casi coesiste con phishing nel medesimo documento (v. https:// rapporto.wordpress.com/ 2017/01/26/fatture-dacia-santi-truffa-phishing-fishing/) essendo normale che in contesti diversi la medesima parola assuma diversi significati.

    Rispondi