Il phishing è una particolare tipologia di truffa realizzata sulla rete Internet che consiste nell’ingannare gli utenti per poter sottrarre loro informazioni sensibili. Avviene principalmente attraverso la posta elettronica: gli utenti ricevono un’e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (webmail, e-commerce ecc.). Il messaggio, contenente un link che rimanda apparentemente al sito web del servizio a cui si è registrati, invita, riferendo problemi di registrazione o di altra natura, a fornire i propri dati riservati di accesso. Non appena l’utente inserisce i dati, questi saranno nella disponibilità dei criminali.
Non solo la posta elettronica è presa di mira da questo tipo di truffa. Sempre più spesso avviene anche tramite applicazioni molto usate come Facebook o Whatsapp: un link che appare sulla messaggistica di FB o un banner pubblicitario. Anche i virus informatici hanno la stessa finalità del phishing ma la modalità di infezione è diversa: oltre i file con estensione .exe i virus si diffondono celandosi dietro false fatture, contravvenzioni, avvisi di consegna pacchi, tutti file in formato .doc o .pdf.
Purtroppo non sempre è facile riconoscere un tentativo di phishing: questi messaggi sottolineano spesso l’urgenza della risposta al solo scopo di indurre l’utente ad agire senza fermarsi a riflettere. Tuttavia è possibile riconoscere le truffe via e-mail con qualche piccola attenzione. Generalmente queste e-mail:
- non sono personalizzate e contengono un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici);
- fanno uso di toni “intimidatori”, ad esempio minacciando la sospensione dell’account in caso di mancata risposta da parte dell’utente;
- non riportano una data di scadenza per l’invio delle informazioni.
Se in precedenza i phisher adottavano, per raggiungere il loro scopo, lievi e quasi impercettibili variazioni o alterazioni dei nomi reali, adesso utilizzano, sempre più di frequente, sia sottodomini che imitano le effettive denominazioni, sia nomi di dominio particolarmente lunghi e complessi, magari intervallati da vari trattini.
È necessario, quindi, tenere sempre gli occhi ben aperti ed esser pronti a reagire in tempi strettissimi.
Alcuni consigli utili per difendersi dal phishing:
- Non aprire allegati del messaggio se non si è a conoscenza con sicurezza dell’identità del mittente. Diffidare a maggior ragione nel caso di messaggi ricevuti nella cartella Spam;
- Verificare l’URL della pagina che richiede dati personali;
- Diffidare di qualunque e-mail che richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio home banking o altre informazioni personali. La banca e gli istituti di credito non richiedono tali informazioni via e-mail;
- Installare nel computer un antivirus che protegga anche dal phishing,avvisando del pericolo ogni volta che si fa click su un collegamento truffaldino;
- Non cliccare su alcun link presente nel messaggio;
- Utilizzare password affidabili,di almeno 12 caratteri e cambiarla spesso.