Le parole del consumatore: phishing
Le parole del consumatore: Phishing
Se ne parla di continuo e gli allarmi sono quasi all’ordine del giorno. Phishing, di cosa si tratta? È una particolare tipologia di truffa che sfrutta soprattutto false email e messaggi di posta elettronica ingannevoli. Una “pesca a strascico” di informazioni riservate
Si va a pesca di informazioni riservate, spesso il numero della carta di credito o le credenziali di accesso alla telebanca, cercando di raccogliere tutto quello che rimane impigliato. Ecco spiegato in poche righe il phishing, una particolare tipologia di truffa realizzata online attraverso l’inganno degli utenti. In genere le truffe via phishing si verificano attraverso false email e messaggi di posta elettronica ingannevoli.
Il phishing è insomma una tecnica con la quale si cerca di carpire informazioni riservate, spesso allestendo falsi siti web dell’istituto di credito o dell’ente dal quale le email sembrano arrivare. Attenzione però, perché a volte gli attacchi possono veicolare anche software malevoli.
Come funziona il phishing e qual è l’esca?
Questo tentativo di truffa di solito si verifica attraverso una email che solo apparentemente proviene da istituti finanziari, come banche o società emittenti di carte di credito, o da siti web che richiedono un accesso previa registrazione.
«Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali» (Fonte: Polizia Postale).
Con lo stesso obiettivo, quello di carpire i dati di accesso a servizi finanziari online o altri servizi che richiedono registrazione, un pericolo più subdolo arriva dai virus informatici.
«Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce». (Fonte: Polizia postale).
La tecnica del phishing
La tecnica del phishing è quindi quella di distribuire un modo massiccio un’email che riproduce, in modo più o meno accurato, quella di un servizio noto – l’informativa della banca, il tracking di un corriere, una comunicazione che sembra arrivare dall’Agenzia delle Entrate o dall’Inps.
«Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. Il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate» (Fonte: Agenzia delle Entrate).
Le tecniche del phishing vengono usate anche per lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware. In quest’ultima tipologia di minaccia, gli aggressori crittografano i dati di un’organizzazione e richiedono il pagamento per ripristinare l’accesso.
