Il phishing è una tecnica criminale utilizzata per compiere operazioni fraudolente, appropriandosi in modo illecito di dati riservati (credenziali, codici di accesso, numeri di conto correnti, dati di carte di credito) di proprietà sia di persone che di aziende.
La truffa avviene solitamente via e-mail, ma possono essere utilizzati anche strumenti di messaggistica vari (sms, social media). Il phisher si presenta, in genere, come un soggetto autorevole quale ad esempio una banca o un ente pubblico che invita a fornire dati personali per risolvere presunti problemi con il conto bancario, per accettare cambiamenti contrattuali o per gestire la pratica per un rimborso fiscale e il pagamento di una cartella esattoriale.
Le caratteristiche dei messaggi di phishing
I messaggi di phishing sono costruiti per ingannare spesso utilizzano loghi contraffatti o addirittura delle pagine web clonate da quelle ufficiali di banche, aziende ed enti. Gli stessi messaggi, non di rado, potrebbero contenere anche errori grammaticali e di formattazione.
I messaggi di phishing, inoltrati come detto attraverso vari modi, potrebbero anche contenere link che rimandano ad un modulo web da compilare con informazioni private. I dati eventualmente inseriti e carpiti potrebbero successivamente essere utilizzati per acquisti e prelievi di denaro non autorizzati o addirittura per compiere ulteriori attività illecite impiegando impropriamente l’identità delle vittime.
E’ utile anche prestare attenzione ai mittenti e ai relativi indirizzi di posta elettronica (che spesso risultano molto simili a quelli reali). In tutti i casi è meglio diffidare dei messaggi con toni intimidatori, che con la scusa di minacciare la chiusura di un conto bancario o sanzioni possono spingere il destinatario a fornire informazioni personali o a intraprendere azioni frettolose.
Alcuni consigli di buonsenso
E’ bene ricordare che, gli istituti bancari, le istituzioni pubbliche in generale e le grandi catene di vendita non richiedono mai informazioni personali attraverso e-mail, sms o chat (dati, codici di accesso e pin dispositivi non dovrebbero mai essere comunicati a sconosciuti!). Quindi, meglio diffidare delle richieste, soprattutto di tipo bancario, provenienti attraverso canali inconsueti.
Se si ricevono messaggi sospetti, è opportuno non cliccare sui link in essi contenuti (spesso dietro i nomi di siti apparentemente sicuri o URL abbreviati si nascondono collegamenti a contenuti malevoli) e non aprire eventuali allegati, che potrebbero contenere malware di vario genere capaci di prendere il controllo del dispositivo elettronico in uso.
Phishing, come proteggersi
I gestori di posta elettronica hanno spesso sistemi di protezione che dirottano in automatico nella posta indesiderata la maggior parte dei messaggi di phishing e spam, pertanto è consigliabile verificare tali impostazioni e controllare che siano attivati.
È assolutamente sconsigliato memorizzare dati personali e codici di accesso nei browser durante la navigazione online e in ogni caso, è buona norma impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato e quando possibile usufruire dei sistemi di autenticazione multi fattore.
Per gli acquisti online, è molto prudente usare carte di credito prepagate o altri sistemi di pagamento che prevedano una soglia limite, controllare spesso le liste movimenti e attivare sistemi di alert per l’avviso di ogni operazione effettuata.
Nel caso si abbia il dubbio di essere stati vittime di phishing occorre senza remore contattare il prima possibile la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti, affidabili e ufficiali per attivare eventualmente le procedure di sicurezza previste e in caso di truffa accertata denunciare il reato anche alla Polizia Postale.
