E’ una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli. Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.).
Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale.
Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali. Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf .
Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.
Come difendersi dal phishing. La regola principale per difendersi, da adottare come un mantra, è solo una: nessuno può tutelare le nostre informazioni meglio di noi stessi. Per questo è necessario creare dati con cura, gestirli con cura e diffonderli, il meno possibile, con cura nonché essere pronti ad affrontare eventuali emergenze. Di solito le email, o i messaggi, di phishing hanno un tono allarmistico. Un classico esempio è “Se non rispondi, il tuo account verrà chiuso in 48 ore”. E, nel caso della posta elettronica, vengono inviati in blocco: per cui nella barra riservata ai destinatari non compare alcun indirizzo email.
Ecco una breve guida, passo dopo passo, per non cadere nella trappola del phishing:
- Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser.
- Prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice, passando il mouse sopra il link stesso.
- Usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i wi-fi pubblici, senza una password di protezione. Se vogliamo una maggiore sicurezza, abbiamo l’opportunità di installare VPN che possono cifrare il traffico. Perché va ricordato sempre che in caso di utilizzo di una connessione non sicura, i cybercriminali possono reindirizzarci, senza essere visti, a pagine di phishing.
- Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo.
- Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.