Chiunque usi Internet si sarà prima o poi imbattuto in un tentativo di phishing: d’altronde, dati alla mano, passiamo sempre più tempo su Internet e al giorno d’oggi l’utente medio della rete passa circa 7 ore al giorno usando il web e servizi associati.
E proprio il phishing è il pericolo più comune della rete perché da un lato è la tipologia di attacco più semplice da portare in avanti per dei malfattori digitali, dall’altro perché è un attacco capace di raggiungere sempre più potenziali vittime.
Il phishing viaggia ovunque: le email rimangono il mezzo più comune, ma ormai il phishing arriva anche sottoforma di SMS, di chiamata telefonica o di messaggio in chat sui social. Proprio i social network sono un terreno fertile per hacker e truffatori, visto che le persone condividono pubblicamente una mole importante di dati personali.
Bisogna sempre usare i social network in sicurezza per evitare di ritrovarsi brutte sorprese, ma altrettanta attenzione bisogna porla quando si usano caselle email e i nostri smartphone. Ma iniziamo dalle basi: cosa è il phishing?
Da dove nasce il phishing e il passaggio alla rete
Oggi è una delle truffe più comuni del mondo, così come la tipologia di attacco che colpisce maggiormente aziende ed enti governativi di tutto il mondo (nel 2021 circa l’83% delle aziende ha riportato di aver subito tentativi di phishing). Viene stimato che ogni 99 email che riceviamo, almeno una è un tentativo di phishing.
Il phishing è poi arrivato anche sui nostri smartphone e anche su altri mezzi, visto che il numero di dispositivi digitali che portiamo con noi è in costante aumento e anche quando viaggiamo, per piacere o per lavoro, abbiamo sempre con noi dei dispositivi digitali che ci rendono potenziali vittime di phishing. Ma facciamo un passo indietro: da dove è nato il phishing e di cosa si tratta?
Essenzialmente, il phishing è un tentativo di attacco dove dei malfattori si fingono qualcun altro: di solito una grossa società o azienda, oppure una persona che conosciamo o un ente pubblico. Nella loro comunicazione, inviata via email, SMS o via chat, ci chiedono di compiere una determinata azione, instillandoci anche un certo senso di urgenza. Di solito l’azione richiesta è cliccare su un certo link che ci hanno mandato oppure scaricare un file allegato.
Lo scopo dell’attacco è sottrarre dati personali, denaro, password, effettuare un furto di identità o installare del malware sul dispositivo della vittima. Cliccando sul link si sarà riportati a una pagina malevola, dove ci verranno rubati i dati inseriti oppure verrà scaricato un virus sul nostro dispositivo (stessa cosa scaricando il file allegato).
Il phishing ha origine secoli e secoli fa nel periodo della Rivoluzione francese, stando alle prove scritte di cui si dispone (ma probabilmente affonda le radici più nel passato). All’epoca, i malfattori inviavano delle lettere dove si inventavano di essere i servitori di un ricco nobile costretto a scappare dalla Francia, lasciando indietro una grossa ricchezza. Loro erano stati incaricati di recuperarla, ma sfortunatamente erano finiti arrestati dalle guardie per un banale motivo.
E così chiedevano, al malcapitato a cui arrivava la lettera, di inviare una lettera con una piccola somma di denaro per pagare la cauzione. Ovviamente, la vittima sarebbe stata poi enormemente ricompensata con una parte di questa grossa ricchezza. La stessa tipologia di truffa avveniva anche in America, dove i truffatori raccontavano di essere alla ricerca di galeoni spagnoli affondati con enormi ricchezze nel centro America, ma di essere stati arrestati dalle autorità locali.
Mentre durante il periodo della corsa all’oro sempre in America, al posto delle ricchezze di nobili o galeoni affondati, il premio era una terra piena di vene d’oro nel sottosuolo oppure, più avanti nel tempo, piena di giacimenti di petrolio. Con l’avvento di Internet, al posto delle lettere si mandavano email di phishing, tra cui le più famose sono quelle del principe nigeriano.
In questa truffa, i malfattori si fingevano per un principe nigeriano che aveva un grossa somma da far uscire dal paese, ma aveva bisogno di un conto corrente di un cittadino estero per far transitare il denaro (in cambio di una percentuale). Oggi invece, nei tentativi di phishing i malviventi digitali fingono di essere grandi aziende e società e sono molto più diretti. Inoltre, avvengono anche via SMS e pure tramite chiamata telefonica, in questo caso si parla di “vishing”.
Come riconoscere i tentativi di phishing più comuni e prevenirli
Nonostante prevenire il phishing sia semplice, tantissime persone rimangono vittima di questa tipologia di attacco: viene stimato che il 30% delle email di phishing viene aperta da chi le riceve. Le email e messaggi di phishing fanno leva su tecniche di ingegneria sociale per convincere chi legge ad aprire le email e compiere le azioni richieste.
Facciamo qualche esempio:
- Ricevete un’email dalla vostra banca, che vi segnala una transazione sospetta avvenuta sul conto e che per motivi di sicurezza hanno bloccato la vostra operatività, richiedendovi di entrare subito sul conto usando il link presente in email
- Arriva un SMS sul vostro smartphone da parte di un corriere, che vi segnala che la spedizione è partita e il pacco sarà consegnato in giornata: potete monitorare la consegna con il link presente nell’SMS automatico
- State sui social e vi arriva un messaggio da una chat, dove vi viene segnalata un’offerta a tempo limitato per un dispositivo tecnologico appena uscito, tipo uno smartphone ultimo modello: se visitate il sito suggerito, potrete acquistarlo a un prezzo esclusivo e fortemente scontato
Siete riusciti a riconoscere il pattern? Il copione rimane sempre lo stesso, indipendentemente da cosa si inventano i truffatori. Di base, si tende a scegliere una comunicazione che tende a creare un senso di urgenza, cioè che spinga la vittima ad agire subito.
Non sareste preoccupati se la vostra banca vi segnalasse un’intrusione nel vostro conto? E la consegna di un pacco in giornata, quando magari vi trovate a lavoro e non ci sta nessuno a casa? Idem per la possibilità di prendere un oggetto costoso tramite un’offerta però limitata nel tempo, che sta per scadere. Tutte azioni che vi portano ad agire immediatamente, senza pensare.
Inoltre, i malfattori tendono a spacciarsi per servizi e società molto conosciuti e usati, perché così aumentano le possibilità che chi riceve il messaggio di phishing sia un cliente o utente di quella determinata società o servizio. Spesso si fingono grosse banche italiane oppure le Poste, così come piattaforme di e-commerce tipo Amazon o eBay. In altri casi, si fingono fornitori di energia elettrica oppure provider telefonici: non esiste limite alla loro creatività, l’importante è che siano società o servizi molto usati.
Infine, questi messaggi di phishing contengono sempre un’azione specifica da compiere e per completarla bisogna cliccare su un link (o scaricare un file allegato). Cliccate sul link e accedete al vostro conto; cliccate sul link e monitorate la spedizione; cliccate sul link e scoprite l’e-commerce che ha messo in forte sconto uno smartphone, e così via.
Nonostante ciò, se davanti a un messaggio sospetto avete dei leciti dubbi sulla veridicità della comunicazione, vi basta contattare il servizio clienti della società che vi ha inviato il messaggio e chiedergli se si tratta realmente di una comunicazione inviata da loro o se invece vi trovate davanti a un tentativo di phishing. Nel dubbio, mai cliccare sui link, mai scaricare file allegati.
Amante della scrittura e del cibo. Scrivo da quando ho memoria, mangio più o meno da sempre. Giornalista Pubblicista dal 2017, con la nascita di Hermes Magazine ho realizzato un mio piccolo, grande sogno. Oggi, oltre a dedicarmi a ciò che amo, lavoro in un’agenzia di comunicazione come Social Media Manager.