Cos’è il phishing e come tutelarsi

Tra le varie truffe informatiche che sorprendono gli utenti più inesperti – ma anche chi ha ormai una certa dimestichezza con la Rete – il phishing è certamente una delle più note. La nostra banca o un’istituzione apparentemente attendibile ci chiedono di inserire i nostri dati sensibili (username, password, numero della carta di credito) per un controllo, e se commettiamo l’errore di cascarci le conseguenze possono essere molto gravi.

Una delle truffe più diffuse cerca di spingerci a fornire i nostri dati sensibili

Che cos’è esattamente il phishing

Il termine phishing è un neologismo coniato sull’omofono fishing, e in effetti questa pratica via web ha molto in comune con l’attività della pesca: viene gettata un’esca apparentemente innocua – ovvero il logo, la grafica, l’apparenza complessiva di un ente affidabile – che nasconde un’insidia, il più delle volte il tentativo di appropriarsi in modo indebito di denaro dell’utente contattato.

Qui non ci sono presunti uomini d’affari che promettono a sconosciuti somme esorbitanti in premio per trasferire dei capitali, né improbabili vittorie a lotterie alle quali non ci ricordiamo di esserci iscritti: la banca, le Poste, la nostra compagnia telefonica intenta a proporci nuove offerte Internet sembrano averci spedito una comunicazione del tutto in regola in cui, di norma per una verifica (in qualche caso l’esca è più allarmista, come un bonifico già predisposto dal nostro conto a meno che non si intervenga per annullarlo o trucchi simili), vengono richiesti i nostri dati sensibili.

Ci viene fornito un link (fasullo) a una pagina apparentemente attendibile, dove inserire l’informazione richiesta, lo facciamo e ci sentiamo con il cuore in pace, ignari invece di aver appena consegnato a dei truffatori quanto necessario per sottrarre del denaro al nostro conto. Secondo stime di Microsoft relative a qualche anno fa, l’impatto mondiale del phishing potrebbe aggirarsi intorno ai 5 miliardi di dollari, e man mano che ADSL e fibra ottica si diffondono, i rischi aumentano.

I tipi di phishing

Siccome la metafora della pesca ha avuto successo, si è provveduto a mantenerla distinguendo diversi tipi di attacco. Lo spear phishing è il tipo di gran lunga più comune, ed è rivolto a individui o società specifiche; il clone phishing clona in tutto e per tutto una mail già ricevuta dalla vittima richiedendo i dati, con la scusa di essere una “versione aggiornata” o un semplice resend; il whaling, letteralmente caccia alla balena, è un tipo di phishing specializzato verso i bersagli grossi, come manager o amministratori delegati. In quest’ultimo caso la cura impiegata per creare il messaggio fasullo è molto superiore.

La casistica è ancora più articolata: l’evil twin è una sorta di rete wi-fi falsa che viene creata dal phisher laddove è già presente una rete pubblica, nella speranza che qualcuno si colleghi alla prima e non alla seconda; il popup attack indirizza l’utente su una pagina in tutto e per tutto legittima, ma prima che questo possa interagire sovrappone un popup, questa volta truffaldino, da compilare con i dati richiesti.

Gli strumenti del phishing

Il principio secondo cui raramente mettiamo in dubbio le istruzioni che arrivano da soggetti affidabili è alla base del successo del phishing. Il trucco è, quindi, quello di dar vita a una struttura che possa essere scambiata con quella originale, creando un sito Internet quasi identico, un link quasi uguale, una comunicazione quasi indistinguibile da quelle legittime.
Confronta ADSL e fibra
Quasi” è la parola chiave: per quanto esperto possa essere il truffatore online, infatti, è impossibile dar vita a una copia perfetta, e proprio qui, come si vedrà più avanti, si trovano le maggiori possibilità di difesa.

Attenzione perché man mano che i filtri anti-phishing applicati dai più noti provider di servizi di posta elettronica, ad esempio Gmail, diventano più sofisticati, altrettanto in fretta i phisher trovano sistemi per aggirare l’ostacolo; ad esempio oggi sono molto più diffuse le immagini con link incluso invece del testo (una tecnica che comunque non può superare i filtri più avanzati, che si basano sul riconoscimento OCR).

Come difendersi dal phishing

La prima regola anti-phishing è la più semplice da tenere a mente: è molto, molto, molto difficile che un ente di qualsiasi tipo vi chieda via mail i vostri dati sensibili – in particolare le password o il numero della carta di credito – e vi fornisca un sito dove inserirli. Per questo un po’ di sano scetticismo è indispensabile quando si ricevono comunicazioni di questo genere.

Il phising più grossolano può essere facilmente riconosciuto da una minima analisi testuale dell’email o del messaggio ricevuti. Molto spesso si tratta di un testo tradotto o composto malamente, con errori di ortografia o calchi che mai e poi mai (almeno si spera) il team di localizzazione di un’azienda seria commetterebbe. Il link, poi, anche se sulle prime può sembrare legittimo quasi sempre non lo è: invece del consueto www.azienda.com o simili, è più articolato e sovente troppo complesso, come www.azienda.esempio.xyz.com. Strani codici numerici o continui redirect non depongono certo a favore di una richiesta legittima. Attenzione anche agli URL accorciati, che sulle prime non hanno nulla di sospetto.

In genere, i filtri di Gmail e degli altri provider funzionano piuttosto bene: se il messaggio è finito nella cartella della posta indesiderata e viene segnalato come sospetto, al 99% è vero.

Se proprio si crede che la richiesta sia genuina, è comunque meglio non cliccare sul link contenuto nell’email, ma accedere invece al servizio usando i soliti canali, come ad esempio il link salvato tra i preferiti, ed effettuare la richiesta contenuta nel messaggio.

Le altre regole sono quelle comuni all’applicazione del buon senso in Rete: cambiare spesso le proprie password e sceglierle sicure, con il maggior numero di caratteri alfanumerici possibili, acquistare o utilizzare come carta di riferimento una prepagata o ancora meglio un account PayPal, dotarsi di un buon antivirus per ogni evenienza.

Commenti Facebook: