ADICU

La truffa del Phishing: cos’è e come difendersi

Negli ultimi anni il business dei dati personali e bancari dei consumatori è aumentato in maniera esponenziale, diventando una vera e propria risorsa per i malintenzionati del web.
Questa è una serie di approfondimenti sulle principali minacce cyber nel settore bancario per aiutare i consumatori a riconoscere le truffe più frequenti e a difendersi.

E’ una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli:

Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura,  a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è  stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un  c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”,  c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.

Scopriamo quindi quello che bisogna sapere.

Le tecniche utilizzate sono molteplici ma tutte hanno lo scopo di impossessarsi dei dati personali e bancari dei malcapitati. Phishing, SMShing, Vishing, Malware, Ransomware e BEC Fraud hanno tutti lo stesso obiettivo, ma si differenziano in base al mezzo utilizzato dai truffatori per carpire le informazioni personali delle vittime.

Che cos’è il phishing?
Il phishing è una truffa informatica che utilizza e-mail contenenti link che rinviano a siti clone.

Perché si chiama phishing?
Il termine phishing deriva dall’inglese fishing, che significa pescare, probabilmente influenzato da phreaking, termine gergale anch’esso inglese, utilizzato per indicare l’attività di chi sfrutta impropriamente la tecnologia per conseguire un vantaggio personale.

Come funziona il phishing?
Il malcapitato riceve un’e-mail apparentemente proveniente dalla propria banca o da altri soggetti come Agenzia delle entrate, INPS, etc. contenente l’invito ad accedere ad un sito cliccando un link. Il link, creato ad hoc, collegherà l’utente a un sito clone della banca o del mittente, identico o molto simile a quello ufficiale, affinché la vittima inserisca i propri dati personali e bancari. In questo modo i cyber criminali acquisiscono i dati inseriti e possono utilizzarli per effettuare operazioni dal conto della vittima.

Come riconoscere il phishing?
Solitamente le e-mail di phishing allettano i malcapitati con agevolazioni o occasioni imperdibili, oppure generano allarme preannunciando una situazione pericolosa come il blocco del conto corrente o una sanzione per mancati pagamenti. Presentano il logo del mittente imperfetto, sfocato perché a bassa risoluzione o visivamente deformato a causa delle proporzioni errate.
Il testo della mail può presentare errori di ortografia e spesso l’indirizzo mail di provenienza ha un dominio diverso da quello della banca oppure un nome generico o privo di significato dal quale si può intuirne la falsità.

Cosa fare se si riceve un’e-mail di phishing?
Cestinarla immediatamente e non dare seguito alle richieste perché le banche non inviano mai ai propri clienti mail in cui viene richiesto di inserire dati personali, password, numeri di carte di pagamento e relativi PIN o contenenti link che rimandano alla pagina di accesso del servizio di banca via internet.

Views: 207

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.