11/11/20

Phishing. Sai come difenderti?

Quante volte capita di ricevere mail o messaggi strani, da profili altrettanto bizzarri, che ci implorano di rivelar loro un codice, un PIN, una password, gli estremi della carta di credito o del bancomat, per bloccare immediatamente la perdita dei dati, dei risparmi, la cancellazione del profilo, dell’account o di qualsiasi altra cosa? Tantissime volte. Queste cose non succedono soltanto ai privati, ma, purtroppo, spesso accadono anche alle aziende. Questa tecnica subdola nella cui rete, in Italia, qualcuno cade circa ogni 5 ore (secondo il rapporto annuale del Clusit del 2019, Associazione Italiana per la Sicurezza Informatica), è chiamata phishing.

Il phishing è quindi una tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda con l’intento di compiere operazioni fraudolente. La truffa può avvenire via e-mail, sms, chat e talvolta anche tramite i social media. Il «ladro di identità» si presenta, in genere, come un soggetto autorevole: una banca, Poste Italiane, un gestore di carte di credito, un ente pubblico... che invita a fornire dati personali per poter risolvere tempestivamente problemi improvvisi (di cui la persona presa di mira non è assolutamente a conoscenza) legati al conto bancario o alla carta di credito, oppure chiede al mal capitato di accettare cambiamenti contrattuali o offerte promozionali a scadenza ravvicinata.
Anche il contenuto del messaggio varia secondo la fantasia dell’impostore, a volte invita a fornire direttamente i propri dati personali, altre volte invita a cliccare un link che rimanda ad una pagina web fraudolenta dove è presente un form da compilare. I dati sottratti possono poi essere utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando la sua identità e le sue credenziali.  

In che modo è possibile prevenire e difendersi da questa truffa?

1. Buon senso e adeguata riservatezza
I codici di accesso e le password personali non dovrebbero mai essere comunicate a sconosciuti, anzi sarebbe meglio non farle sapere nemmeno al partner o agli amici stretti, i quali potranno esserne a conoscenza solo in caso di emergenza.
Inoltre, è importante sapere che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat. Se si ricevono messaggi ritenuti sospetti, è raccomandabile non cliccare eventuali link in essi contenuti e non aprire allegati qualora ce ne fossero, questo perché potrebbero contenere malware o programmi trojan horse capaci di prendere il controllo di pc e smartphone.  
A volte dietro i nomi di siti apparentemente sicuri o dietro a URL abbreviati si nascondono link a contenuti non sicuri, e una piccola accortezza consigliata può essere posizionare sempre il puntatore del mouse sui link prima di cliccare, in modo da avere un’anteprima e poter leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati se si deciderà di cliccare su quel link.

2. Leggi attentamente e scova gli indizi
I messaggi di phishing sono progettati per ingannare, quindi spesso utilizzano imitazioni davvero realistiche dei loghi o delle pagine web ufficiali dei soggetti cosiddetti autorevoli per cui si spacciano. Ciò nonostante, spesso contengono anche errori grammaticali, di formattazione o di traduzione da altre lingue, che con una lettura attenta è davvero difficile non carpire. In terzo luogo, bisogna prestare attenzione anche al mittente del messaggio, il cui indirizzo di posta elettronica spesso è incompatibile con il mittente o il testo della comunicazione o è un’evidente imitazione di un indirizzo reale. Infine, meglio diffidare soprattutto dai messaggi intimidatori che minacciano la chiusura o il blocco del conto bancario, oppure sanzioni se non si risponde immediatamente: sono solo strategie per spingere il destinatario a fornire le tanto agognate informazioni personali.

3. Proteggiti meglio
Può essere utile installare e tenere aggiornato su qualsiasi dispositivo un programma antivirus che protegga anche dal phishing. Alcuni programmi e i gestori di posta elettronica hanno già sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing: è importante controllare che siano attivati e verificarne le impostazioni.
Altra cosa alla quale non molti danno peso, è la memorizzazione dei dati personali e dei codici di accesso nei browser utilizzati per navigare online, sarebbe meglio infatti non attivarla e fare quella fatica in più per reinserire tutto ogni volta, oppure affidarsi a un password manager. È poi di buona prassi impostare password alfanumeriche complesse, cambiarle spesso e soprattutto scegliere credenziali diverse per ogni servizio utilizzato, che sia l’app della banca, l’e-mail, o il profilo Facebook.

4. Acquista online, ma in sicurezza
Per acquistare online è più prudente usare carte di credito prepagate o altri sistemi di pagamento dove sia possibile evitare la condivisione di dati del conto bancario o della carta di credito.

5. La prudenza non è mai troppa
Per proteggere conti bancari e carte di credito è necessario controllare spesso i movimenti e attivare notifiche e sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata. Avendo sempre sotto controllo le operazioni sarà più facile notare movimenti ambigui e quindi rendersi conto se si è davvero caduti nella rete del “pescatore di dati”.

Questi piccoli accorgimenti alle volte possono davvero contrastare la perdita o la sottrazione di enormi quantità di dati, dati che soprattutto per le aziende possono significare anni di lavoro. Oltre a ciò, mettono al riparo da perdite di denaro, che in alcuni casi sono state anche notevoli.

Noi di NSI - Think Outside the Box siamo una digital transformation company e aiutiamo le aziende a ridisegnare i propri processi di business e a crescere con soluzioni IT personalizzate e prodotti digitali.
Noi ci prendiamo cura dei tuoi progetti di data protection e cybersecurity!

Scrivici!