Nell'era del 2.0, nonostante la crescente digitalizzazione, si verificano ancora problemi legati al fenomeno del phishing: ma a cosa ci riferiamo con questo termine?
Il phishing (dall'inglese "fishing", pescare) richiama alla mente l'attività della pesca. È come se si gettasse in acqua un amo sperando che qualche pesce abbia abboccato. In sostanza è una tipologia di attacco informatico in cui il mittente si spaccia per una fonte attendibile per indurre le vittime a condividere informazioni personali, dati sensibili o estorcere denaro.
Esistono diverse tipologie di phishing, vediamo quelle principali:
1. Email Phishing
Probabilmente la tipologia più comune, in cui gli hacker impersonano un'identità o un'organizzazione legittima e inviano e-mail di massa a tutti gli indirizzi che riescono ad ottenere. Vediamo un esempio:
Da notare come l’email non contiene alcun tipo di saluto, nemmeno un generico “Salve”, in genere le email di PayPal si rivolgono a noi sempre con nome e cognome o la ragione sociale. Ma soprattutto, il segnale d’allarme è l’indirizzo di posta elettronica del mittente: un’email autentica di PayPal avrebbe il nome dell’organizzazione nel nome di dominio (@paypal.it). Il fatto che PayPal non compaia nel nome del dominio è la prova che si tratta di una truffa.
2. Smishing
Il phishing SMS, o smishing, sfrutta i messaggi di testo anziché le e-mail per eseguire un attacco. La procedura è la medesima del phishing via mail, in questo caso i link potrebbero essere camuffati da codice sconto.
3. Vishing
Il vishing, noto anche come phishing vocale, utilizza anch’esso uno smartphone come mezzo per un attacco, ma invece di sfruttare il messaggio di testo, viene utilizzata una chiamata vocale. Una chiamata vishing spesso trasmette un messaggio vocale automatico da quello che dovrebbe essere un ente legittimo, come una banca o un ente governativo, per poi tentare di estorcere informazioni rilevanti. Di solito i malintenzionati informano la vittima della presenza di un debito di una grande quantità di denaro, che l’assicurazione auto è scaduta o che la carta di credito ha attività sospette che devono essere risolte immediatamente.
4. Evil Twin Phishing
Il phishing “evil twin” implica la creazione di quella che sembra essere una rete WiFi legittima che in realtà attira le vittime su un sito di phishing. Una volta aperto il sito, in genere viene chiesto loro di inserire i propri dati personali, come le credenziali di accesso, che poi vanno direttamente all'hacker. Una volta ottenuti questi dettagli, è facile per quest’ultimo rubare informazioni e dati sensibili.
5. Search Engine Phishing
Il search engine phishing coinvolge gli hacker che creano il proprio sito Web e lo indicizzano su motori di ricerca legittimi. Questi siti Web spesso presentano prodotti economici e offerte incredibili per attirare acquirenti online. Facendo clic su di esso, di solito viene richiesto di registrare un account o inserire le informazioni del proprio conto bancario per completare un acquisto. Naturalmente, i truffatori si impossesseranno di questi dati per estorcere denaro o rubare l’identità dei malcapitati.
Per concludere vediamo gli elementi da attenzionare per evitare di cadere nel tranello del phishing:
- Insospettirsi se veniamo invitati ad accedere a link fittizzi.
- Analizzare bene il dominio dell’indirizzo di posta elettronica del mittente.
- Se il messaggio è totalmente sgrammaticato, è probabile che sia una truffa (spesso se il tentativo di phishing viene dall’estero vengono utilizzati dei traduttori online per rendere comprensibile il messaggio).
- Diffidare da richieste di informazioni personali, dati sensibili o di denaro.
- Offerte troppo interessanti.
- Diffidare dai messaggi tipo: “Ciao Mario, hai vinto la lotteria”.