Il phishing è una delle più comuni tecniche di attacco utilizzata dai criminali informatici. Tale modalità è in crescita ma, imparando a riconoscerla, è davvero semplice da evitare.
Cosa è il Phishing?
Il phishing è la sincrasi di due parole ovveo Phreaking, termine usato per classificare le prime forme tecnologiche, e Fishing, il verbo pescare. Tale parola infatti esprime bene l’attività dell’hacker, ovvero quella di sottrarre informazioni attraverso l’inganno esattamente come un pescatore attira la sua preda con un’esca.
Tale operazione viene solitamente effettuata avvalendosi di una email dal contenuto ingannevole, spingendo il destinatario a compiere un’azione. Quelle più banali contengono un link al quale accedere per ottenere una vincita altre invece richiedono un accesso ad un servizio bancario per evitare il blocco della carta. In questo modo sarà semplice estrarre informazioni quali credenziali di accesso, numeri di carta di credito o qualsiasi altro dato sensibile.
Questa tecnica ha visto un’incredibile espansione grazie all’attivazione dello smart working dove, impiegati inconsapevoli, utilizzavano massivamente la posta elettronica senza conoscerne le insidie basilari. La probabilità di successo di un attacco phishing infatti, è strettamente legata dalla capacità della vittima di riconoscerlo.
Quali sono le finalità del Phishing?
Le finalità del Phishing sono essenzialmente tre:
Sottrazione
L’obiettivo in questo caso è quello di riuscire ad ottenere informazioni quali credenziali di accesso o numero di conto. In questo caso la vittima sarà invitata a compilare un form contatti.
Controllo
Con questo tipo di attacco l’obiettivo è quella di infettare il dispositivo con un malware, un software in grado di effettuare azioni indesiderate quali modificare l’accesso ai file e richiedendo un riscatto per procedere allo sblocco.
Truffa
Questa tecnica è la più semplice poichè non richiede alcuna capacità tecnica. La mail contiene l’invito ad effettuare un pagamento, solitamente una piccola cifra, per ricevere un pacco presente ad un ipotetico centro di smistamento o per accedere ad una determinata offerta.
Come evitare le trappole del Phishing?
Per evitare le trappole del Phishing è importante acquisire consapevolezza e prendersi sempre tutto il tempo necessario ad effettuare determinate analisi. L’apertura del messaggio di posta elettronica non è pericoloso fintanto che non si esegua alcuna azione come cliccare su un link o scaricare un allegato.
Ecco quindi alcune semplici operazioni da effettuare alla ricezione di una email:
- Controllo del mittente – è sempre importante controllare l’indirizzo del mittente poiché capita che abbia caratteri mancanti (es. info@bancaditala.it) o sia un personaggio inaspettato (es. governatore@bancaditala.it).
- Link e allegati – è bene evitare di effettuare azioni come click a link o download di allegati, specie se da sconosciuti. Un suggerimento è quello di copiare il link ed incollarlo in un file notepad per poterlo meglio analizzare.
- Informazioni sensibili – diffida sempre da tutte quelle mail che richiedono la compilazione di informazioni sensibili.
- Comunicazione urgente – spesso gli hacker fanno leva su un criterio di urgenza deducibile dal testo dell’oggetto o del messaggio. Questo avviene affinchè la potenziale vittima effettui l’azione nel minor tempo possibile senza aver il tempo necessario a riflettere. Pertanto è sempre bene ricordare che l’urgenza può essere un primo e forte indizio.
- Errori ortografici – molte delle mail di phishing vengono inviate massivamente e, per far questo, spesso vengono scritte in un lingua e tradotte automaticamente con appositi software. Come ben sappiamo le traduzioni automatiche sono soggette ad errori, per cui eventuali frasi mal formulate rappresentano più di un sospetto.
- Comunicazione insolita – spesso un campanello d’allarme è la ricezione di un messaggio inaspettato o contenente toni e modalità non usuali. In caso di dubbio è sempre bene evitare di rispondere al messaggio ma piuttosto utilizzare il telefono per contattare il mittente accertandosi della richiesta.
Il consiglio migliore resta sempre lo stesso: in caso di dubbio non fare nulla.