Fun, quote and tech

Cos’è il phishing e come evitarlo, la guida semplice

- di Dario Musella - Commenta
Cos'è il phishing e come evitarlo, la guida semplice

Che cos’è il phishing e come evitarlo, la guida semplice

URGENTE: abbiamo rilevato attività sospette sul tuo conto, pertanto l’abbiamo bloccato. Clicca qui per sbloccarlo”, “AZIONE NECESSARIA: il tuo pacco è stato trattenuto”, “Il tuo pagamento è stato correttamente effettuato”: se hai ricevuto almeno una volta una mail contenente una di queste frasi, allora vuol dire che probabilmente hai ricevuto una mail di phishing: truffe che mirano al furto di dati sensibili, sfruttando l’ingegneria sociale.

Che cos’è il phishing

Il termine phishing è una variante nel gergo “leet” del verbo pescare in inglese, ovvero fishing. L’allusione alla pesca sta proprio nell’azione che intraprende il malintenzionato, ovvero di pescare dati sensibili in un mare di potenziali vittime in rete, inviando finte mail di comunicazione e richiedendo un qualche tipo di interazione.

Cos’è il phishing? Non è altro che una tecnica di attacco informatico che mira all’ottenimento di dati sensibili quali username e password di portali social, numeri di carte di credito o dati bancari.

Il primo attacco phishing risale alla metà degli anni Novanta, quando alcuni individui riuscirono a rubare le password del primo fornitore di servizi internet negli Stati Uniti, ovvero AoL (America on Line). L’obiettivo fu quello di trovare un modo per poter navigare su internet senza pagare un abbonamento (ad AoL), e grazie a degli stratagemmi riuscirono ad impersonarsi amministratori del servizio, completando con successo il furto.

Anatomia di una truffa informatica

Gli attacchi phishing seguono degli schemi ben delineati, e mirano a scopi ben precisi. Innanzitutto i malintenzionati possono avvalersi di database rubati in seguito ad un data breach in modo da poter stilare una lista preliminare di potenziali vittime. In seguito ad alcune correlazioni, possono riuscire a scoprire quali sono i servizi da loro usati, per poter così perpetrare l’attacco.

Le mail inviate (o i messaggi WhatsApp) dai criminali possono essere di tantissimi tipi, anche se spesso sono riconducibili a tipologie già note:

Truffa del conto bancario sospeso: queste mail si presentano come notifiche di sospensione di un presunto conto bancario intestato a nome della vittima. Nei casi più banali, il mittente della mail può celarsi dietro un ente bancario con il quale la vittima non ha mai avuto alcun tipo di interazione, ma nei casi più complicati potrebbe mascherarsi da una banca presso la quale effettivamente la vittima ha un conto bancario.

Truffa della conferma di un ordine: un altro tipo di imbroglio piuttosto comune è la mail che funge da ricevuta di pagamento di un ordine fittizio andato a buon fine, con tanto di informazioni e link fasulli che potrebbero dirottare la vittima verso ulteriori rischi.

Truffa dei crediti verso enti: altra tipologia nota di email malevole riguarda la presunta notifica di un credito pendente verso un qualche ente come l’Agenzia delle Entrate, dove gli attaccanti cercano di mettersi in contatto con la vittima chiedendo informazioni sensibili quali documenti d’identità e conti bancari.

Truffa alla nigeriana: detta anche “truffa del principe nigeriano”, questa storica gamma di e-mail esiste da circa trent’anni. Il nome fa riferimento ai primi tentativi, dove le mail maligne si presentano come richieste di aiuto da parte di un individuo sconosciuto proveniente dalla Nigeria, il quale si offrirebbe d’inviare del denaro alla vittima, ma che ha bisogno dell’intervento di quest’ultimo per sbloccare un presunto conto milionario in banca. Queste mail cercano di tenere alta la pressione psicologica della vittima, difatti esistono numerose varianti dove il mittente potrebbe essere una persona “sentimentalmente interessata”, o un malato terminale che vuole devolvere i propri guadagni al truffato. 

Ora che sai cos’è il phishing vediamo come riconoscere una mail malevola.

Come riconoscere una mail malevola?

Se è vero che oggigiorno i provider di posta elettronica ricorrono a potenti algoritmi di machine learning per identificare e cestinare le e-mail potenzialmente malevoli, facendo sì che non possano mai arrivare all’utente, l’anello debole resta l’errore umano. Se determinate mail riescono a bypassare i controlli antispam dei provider, deve essere l’utente a riconoscerle ed evitare di cadere nella trappola. Benché queste mail si presentino sempre più spesso simili a delle autentiche, osservando dei piccoli dettagli cruciali si possono identificare le e-mail maligne da quelle veritiere.

Controllo del mittente: le mail ufficiali da parte di un corriere o di un ente bancario dispongono di un proprio dominio (@esempio.it). Bisogna prestare attenzione all’ortografia del mittente della e-mail, in quanto quelle di phishing potrebbero essere inviate da un dominio che differisce per pochi caratteri e che presenta errori tali da poter passare inosservati ([email protected], [email protected]), oppure utilizzare indirizzi di posta elettronica con domini pubblici (@gmail.com, @yahoo.com…). Un’altra pratica dei malintenzionati prevede l’offuscamento della casella mail: le app di posta possono visualizzare a schermo il nome e cognome del mittente piuttosto che la email effettiva, in questi casi una mail può avere come nominativo la mail di un ente ufficiale (ad esempio postale o bancario) e nascondersi dietro una casella mail fasulla.

Errori ortografici: nonostante le mail di phishing stiano diventando sempre più precise, accurate e simili a quelle reali, vale la pena spendere qualche secondo in più per controllare l’ortografia del messaggio e il senso delle frasi. Alcune mail di questo tipo possono presentare errori sintattici grossolani o frasi semanticamente sbagliate, perché tradotte da altre lingue con ausilio di traduttori automatici. Inoltre, le mail di comunicazioni autentiche di solito si rivolgono all’utente con il suo nome, mentre nelle mail di phishing non ne viene quasi mai fatta menzione, comunicando con formule più generiche, del tipo “gentile cliente, la informiamo…”, “caro utente, l’utenza è stata…”.

Sensazione di urgenza: i malintenzionati cercano di ingaggiare i propri bersagli instillando una sensazione di urgenza che può trascendere in panico e sgomento. Solitamente le mail di phishing riguardano anomalie su profili associati a conti correnti o siti di e-commerce, pertanto andrebbe adottato un approccio di diffidenza per queste tipologie di mail.

Presenza di link malevoli: il contenuto può presentare dei collegamenti a siti malevoli, mascherati da puntamenti ai servizi autentici. Se una mail richiede all’utente di cliccare su un link per accedere ad un sito web, è fortemente consigliato verificare l’effettivo URL corrispondente posizionando il puntatore del mouse sul link, senza cliccarlo, oppure tenere premuto sul link, da smartphone. Se un ente reale possiede un proprio portale web (www.esempio.it/login), le mail di phishing presentano dei link che possono più o meno differire (www.esenpio.it/login, www.esempio.com/login, www.sodfijdfvs.it/sdfkd55c6s2-995)

Verifica degli allegati: se la e-mail ricevuta presenta uno o più allegati, e la ricezione di tale mail risulta inattesa e poco attinente per l’utente, diffidare sempre e mai aprire gli allegati: presentano malware che possono danneggiare computer e smartphone e carpirne dati sensibili.

Cos’è il phishing e come evitarlo, riassumendo

Cosa si intende con il termine phishing?

Il phishing è una forma di cyber attacco in cui un malintenzionato tenta di ingannare un utente per ottenere informazioni sensibili, come credenziali di accesso, dati personali o bancari. Questo avviene tramite messaggi ingannevoli, spesso via email, SMS o altri canali digitali, che sembrano provenire da fonti affidabili come banche, aziende o istituzioni.

Cos’è il phishing e come riconoscerlo?

Il phishing è una tecnica di frode informatica progettata per rubare informazioni personali o indurre le vittime a compiere azioni dannose, come cliccare su link pericolosi o scaricare file infetti. Puoi riconoscere il phishing prestando attenzione a:

  • Errori grammaticali o di formattazione nei messaggi.
  • URL sospetti, che imitano siti legittimi ma contengono leggere variazioni.
  • Richieste urgenti, come aggiornare le credenziali o confermare dati personali.
  • Mittenti sconosciuti o indirizzi email insoliti.

Quali sono i tipi di phishing?

Esistono diverse tipologie di phishing:

  • Email phishing: email fraudolente che simulano aziende o enti legittimi.
  • Spear phishing: attacchi mirati verso singoli individui o organizzazioni, spesso personalizzati.
  • Smishing: phishing tramite SMS o messaggi di testo.
  • Vishing: phishing tramite chiamate vocali.
  • Pharming: reindirizzamento degli utenti verso siti falsi senza che questi se ne accorgano.

Qual è la migliore difesa contro il phishing?

La difesa migliore è una combinazione di attenzione e strumenti tecnologici:

  1. Non cliccare su link sospetti o fornire dati sensibili senza verificare il mittente.
  2. Utilizzare software antivirus e mantenerlo aggiornato.
  3. Attivare l’autenticazione a due fattori (2FA) sui propri account.
  4. Formazione e consapevolezza: imparare a riconoscere i segnali di phishing.
  5. Controllare sempre l’URL di un sito prima di inserire dati sensibili.

Immagine per l’articolo cos’è il phishing e come evitarlo, la guida semplice di Pexels

Print Friendly, PDF & Email
Altri articoli da non perdere
This Bed We Made: il videogioco fra le stanze di un albergo
This Bed We Made: il videogioco fra le stanze di un albergo

Cosa c’è di meglio di un videogioco nel quale è il 1958, sei una cameriera in un grande hotel, e Scopri di più

Saga di Jak and Daxter: il duo dimenticato da PlayStation
saga di jak and daxter

La saga di Jak and Daxter è una serie d’azione e di avventura creata da Naughty Dog, creatori anche di Scopri di più

Caratteristiche di Death Stranding: l’opera videoludica di Kojima
Caratteristiche di Death Stranding: l'opera videoludica di Kojima

Hideo Kojima è uno degli autori videoludici più importanti della nostra epoca. Con la saga di Metal Gear Solid, ha Scopri di più

Deinfluencer: il fenomeno social
deinfluencer

Da influencer a deinfluencer Per moltissime aziende, il mondo dei social è la perfetta rampa di lancio per la sponsorizzazione Scopri di più

Detroit: Become Human e il libero arbitrio
Detroit: Become Human e il libero arbitrio

Detroit: Become Human è un videogioco sviluppato da Quantic Dream, pubblicato nel 2018 per PlayStation 4 e Microsoft Windows. Sulla Scopri di più

Stereotipi sugli inglesi: i cinque più diffusi
Stereotipi sugli inglesi: i cinque più diffusi

Stereotipi sugli inglesi: verità o convinzioni senza fondamento? Dopo aver analizzato gli stereotipi sui cinesi, sugli tedeschi e sui napoletani, Scopri di più

Leggi anche:

Honor magic 4 lite 5gHonor magic 4 lite 5g I Recensione dello smartphone Borracce: un eccellente veicolo pubblicitario, anche in vacanza Tossicità nei giochi online: un problema sempre più diffusoTossicità nei giochi online: un problema sempre più diffuso Dispositivi indossabili: in che modo migliorano la nostra vitaDispositivi indossabili: i miglioramenti nella nostra vita Il gioco del Karuta: arte, poesia e storia del GiapponeIl gioco del Karuta: arte, poesia e storia del Giappone

A proposito di Dario Musella

Millennial classe 1996, cresciuto a pane e videogiochi. Laureato in Informatica. Esperto in cybersecurity, appassionato di retrogaming e tecnologia.

Vedi tutti gli articoli di Dario Musella

Commenta