Con phishing si intende l’acquisizione indebita di dati personali tramite siti Web, e-mail o messaggi contraffatti con l’obiettivo di sottrarre denaro dal conto del malcapitato o danneggiarlo personalmente in altro modo. Phishing è un termine inglese creato dall’unione di «password harvesting» (raccogliere password) e «fishing» (pescare), che indica quindi il tentativo di «catturare» password utilizzando un’esca.

I truffatori creano un sito Internet apparentemente identico a quello di un ente affidabile come una banca, un provider di posta elettronica o un sito di acquisti online, contraffacendolo. Tramite il phishing, l’utente viene spinto a registrarsi su questo sito contraffatto o a inserire le credenziali che utilizza per l’online banking. Questi dati vengono poi «pescati», ossia raccolti e utilizzati per fini illeciti allo scopo di sottrarre denaro dal conto dell’utente. Il phishing è una forma di social engineering che approfitta della buona fede della vittima, spesso tramite l’invio di mail da indirizzi contraffatti. Strutturate come messaggi ufficiali, le e-mail di phishing comunicano al destinatario che i suoi dati di accesso o le informazioni relative al suo conto non sono più validi o sicuri, e lo invitano a modificare i dati in questione tramite il link contenuto nel messaggio. Il link di phishing conduce l’utente a un sito di phishing apparentemente identico al sito Internet di un fornitore di servizi, dove queste informazioni vengono «pescate», ossia raccolte e trasmesse ai truffatori.

Se i truffatori entrano in possesso dei nostri dati bancari tramite un sito Web di phishing, possono svuotare il conto a loro piacimento, utilizzare la carta di credito per finalità illecite o effettuare acquisti online.

Con le credenziali di accesso agli account di posta elettronica possono leggere informazioni riservate o inviare messaggi fasulli ai vostri contatti, chiedendo loro soldi o favori.

Inoltre esiste il rischio che, facendo clic su un link di phishing, scarichiate un software dannoso che spia i dati sul vostro computer, li rende inutilizzabili o, nel peggiore dei casi, li cripta. I cosiddetti «ransomware», ossia trojan in grado di criptare file e dati dell’utente a fini di estorsione, cifrano i file presenti sul computer e su tutte le unità collegate, rendendoli illeggibili per la vittima. Per le aziende il problema è doppiamente grave, perché comporta anche un’interruzione delle attività a tempo indeterminato. Gli estorsori possono richiedere anche ingenti somme di denaro per rendere nuovamente disponibili i dati, arrivando anche a compromettere l’esistenza stessa di un’impresa.

Per quanto gli attacchi di phishing possano differenziarsi gli uni dagli altri, le e-mail di phishing sono accomunate da alcune caratteristiche:
  1. non conoscete il mittente;
  2. l’e-mail non è rivolta a voi personalmente («Gentile cliente»);
  3. l’e-mail vi chiede di fare urgentemente qualcosa («Effettuate il login entro 2 giorni»);
  4. l’e-mail contiene minacce («In caso contrario il vostro conto sarà bloccato»);
  5. il testo è scritto in un italiano scorretto e contiene errori;
  6. le minuscole e le maiuscole o la punteggiatura utilizzate non sono corrette;
  7. vi vengono richiesti dati personali;
  8. l’URL non inizia con https://;
  9. l’URL contiene simboli sospetti (69z-allianz.ch o az-suisse.clienti.ch);
  10. il sito Web a cui rimanda il link non ha il certificato di sicurezza SSL (Secure Socket Layer).

Ecco come proteggersi dal phishing

Gli espedienti utilizzati dai truffatori sono molto sofisticati, ma se vi attenete alle otto regole elencate di seguito per la prevenzione dal phishing potete evitare di cadere nella loro rete.
  1. Non fidatevi delle e-mail provenienti da indirizzi sconosciuti. Spesso a essere vittime di contraffazione sono proprio le imprese più affidabili.
  2. Siate prudenti se ricevete mail che vi chiedono di fare qualcosa minacciando gravi conseguenze in caso contrario (perdite economiche, penali, blocco del conto o delle carte ecc.).
  3. Verificate eventuali richieste di pagamento ricevute per e-mail.
  4. Nelle e-mail sospette, non cliccate sui link e non aprite gli allegati.
  5. Non aprite allegati con terminazioni bizzarre (es. picture.bmp.vbs).
  6. Visitate solo siti Web affidabili.
  7. Controllate regolarmente l’estratto conto e i documenti riepilogativi delle carte di credito.
  8. Proteggete il computer con programmi antivirus e aggiornateli regolarmente.