Il phishing (variante di fishing, “pescare”) è un tipo di truffa effettuata su internet tramite email che ha l'obiettivo di farsi fornire dalla vittima dati personali o finanziari fingendo che l'email provenga da enti come banche, corrieri, piattaforme di streaming o di shopping online. Le email di phishing contengono link che, se cliccati, mettono la vittima a rischio di scaricare virus o consegnare nelle mani del truffatore dati sensibili, come utenze e password, dati bancari e personali. Alcune email di phishing sono molto verosimili, ma contengono alcuni particolari che ci aiutano a identificarle così da non cascarci. Ecco come funziona questo attacco informatico, come riconoscerle e cosa fare se ci capita di abboccarci.
Come avviene un attacco phishing: il meccanismo che c’è dietro
Per capire il meccanismo, prendiamo l'esempio di un'email che finge di arrivare dalla famosa piattaforma di streaming Netflix. Il mittente di questa email riporta come nome proprio "Netflix"; riporta sia il logo che la scritta che conosciamo, comunica al ricevente che il suo abbonamento è scaduto e propone di estenderlo gratuitamente per 90 giorni inserendo i dati della carta come garanzia, senza che venga prelevato alcun importo.
Cliccando sul link di phishing “Estendi Gratuitamente” (l’abbonamento) si apre una pagina web che sembra quella di Netflix, ma lo è solo in apparenza. Si tratta di web site spoofing: un sito fasullo creato dal truffatore per imitare quello vero, spesso mettendo come sfondo un’immagine catturata dal sito vero e aggiungendo semplicemente un’interfaccia dove si possono inserire i dati, che però non verranno usati per pagare l’abbonamento, ma vengono consegnati direttamente nelle mani del truffatore.
Anche solo cliccare sui link presenti nelle email di phishing può essere un pericolo perché potrebbero essere collegati al download di virus che invadono il nostro computer e permettono al truffatore di rubare i dati che contiene, dati sensibili.
Altri esempi di phishing
Esistono decine e decine di esempi di email di phishing. Uno dei più comuni – probabilmente – è quello del finto pacco in attesa, che ci chiede di inserire i nostri dati per poterlo ricevere. In questo caso il truffatore si finge una nota compagnia di corrieri.
Email come questa sono abbastanza sospette: grafica scadente, sono spesso scritte in lingue differenti.. con un po' di attenzione riusciamo a capire che sono truffe.
Altre sono evidentemente false, come per esempio le email dove ci annunciano che abbiamo vinto premi in concorsi a cui non abbiamo mai partecipato.
Perché la truffa del phishing si chiama così
Phishing è una variante dell'inglese "fishing", letteralmente “pescare”. Non è un caso: il truffatore pesca i dati sensibili delle vittime facendoli abboccare a un amo, cioè email false come quelle appena viste.
Può accadere anche via sms (si chiama smishing) o chiamata vocale (vishing), ma il meccanismo è un po’ più complesso.
Come riconoscere e prevenire la truffa
Come sono fatte quindi queste email? E come facciamo a riconoscerle?
L'urgenza e la convenienza
Per prima cosa, queste email sono quasi sempre basate sull’urgenza oppure sulla convenienza. Ma nessuno ci regala dei soldi e oggetti come “URGENTE, ATTENZIONE!!” sono formule usate proprio per farci prendere dal panico, e non farci vedere alcuni particolari che ci farebbero subito capire che si tratta di una truffa.
L'indirizzo email
L'indirizzo del mittente di queste email è spesso sconclusionato, oppure nascosto, cioè non è visibile. A volte però è molto simile all’email ufficiale con differenze minime. Quindi se possibile, va confrontato con quello ufficiale dell’azienda che ci sta mandando l’email.
Comunque abbiamo altri indizi che ci aiutano
Il link e i loghi
Anche il link a cui veniamo rimandati, è spesso strano, diverso da quello del sito ufficiale. Oppure il logo: assomiglia a quello vero ma è contraffatto, magari schiacciato o con qualche particolare leggermente diverso.
Gli errori di ortografia
Nelle email di phishing c'è sempre qualche errore di ortografia, anche se piccolo. Questo è dovuto al fatto che spesso le email vengono generate automaticamente da dei software che le traducono in più lingue, così da mandarle a utenti di diversa nazionalità. Questi programmi però hanno spesso difficoltà a riconoscere i caratteri speciali, come per esempio gli accenti, e mancano la traduzione di alcune parti, avendo come risultato più lingue utilizzate nella stessa email.
A volte l’email non contiene neanche testo vero e proprio, ma solo un’enorme immagine che, se viene cliccata, ci porta sul sito di spoofing oppure scarica un virus.
I contatti e la privacy
Nelle email ufficiali non possono mancare contatti e la privacy in fondo al testo. Questo perché se abbiamo dei dubbi dobbiamo sapere chi possiamo contattare. In quelle di phishing entrambe le cose o sono assenti, oppure riportano dati del tutto inventati e poco verosimili.
Le informazioni personali
Le email ufficiali riportano il nostro nome nel testo. Chi ci sta contattando, sa a chi sta scrivendo. In quelle di phishing invece non sempre sono presenti e spesso sono poco verosimili.
Questo è vero soprattutto per le banche: le email ufficiali riportano SEMPRE il nostro nome, la nostra filiale, e i dati di accesso al conto o il pin della carta di credito non vengono MAI chiesti tramite email o sms, ma solo tramite l’app o piattaforma ufficiale della banca. Se un’email o un sms, ci sembrano veri e ci preoccupano, la cosa corretta da fare è chiamare l’assistenza della banca al numero che troviamo sul sito ufficiale
Perché questa truffa è efficace
Ma come fa il truffatore a sapere che al ricevente è scaduto l’abbonamento di Netflix o sta aspettando un pacco oppure è cliente della banca che sta “imitando”? La verità è che non lo sa!
Queste email vengono inviate a milioni e milioni di persone: tra tutti i destinatari dell’email, sicuramente esisterà qualcuno cliente di quella banca o iscritto a Netflix o in attesa di un pacco. Facciamo continuamente acquisti online.
Inoltre purtroppo non serve essere degli hacker professionisti per creare un sito web falso e basta una sola persona per farlo. Non si tratta di un meccanismo complesso, ma proprio per la sua semplicità è così comune.
Come rimediare se si abbocca al phishing
Comunque, può capitare a tutti di cascarci. Cosa fare in quel caso?
Se ce ne accorgiamo subito, blocchiamo immediatamente la carta. Si può fare tramite l’app della banca o chiamando l’assistenza.
Se invece ce ne accorgiamo quando ci hanno già sottratto dei soldi, possiamo fare richiesta alla banca di “disconoscimento”, cioè dichiariamo che il movimento bancario con cui il truffatore ci sta derubando, non è stato eseguito da noi. Se la banca riconosce la truffa, è possibile che ci restituiscano i soldi.
Va comunque fatta una denuncia alle forze dell’ordine – alla polizia postale – che può così avviare le indagini.
Possiamo anche segnalare le email truffaldine all’AGCOM (Autorità per le Garanzie nelle Comunicazioni Elettroniche) e alla GPDP (Garante per la Privacy dei Dati Personali).
Difese contro il phishing
Due ottime strategie di prevenzione sono:
- password diverse nei diversi siti, così da evitare che se ci rubano una password, poi possono accedere a tutti i nostri account.
- attivare le notifiche dell’app della banca per ogni transazione, così qualora ci rubassero dei soldi, ce ne accorgiamo e possiamo intervenire.