Come difenderci dal “phishing”. Ce lo dice il Garante
In tempi caldi di spionaggio e truffa digitale, dai contorni nebulosi, Il termine è più che mai necessario conoscere gli strumenti per difenderci.
Ormai la pratica del phishing, fa parte delle attività criminose che incombono sulla nostra società. Il termine “macedonia”, che deriva dalla fusione del verbo inglese fishing e dal gergale phreaking, neologismo per indicare l’attività nell’ambito della telefonia digitale.
Una nuova locuzione usata, come leggiamo sul sito ufficiale della polizia postale, per indicare e definire un tipo di truffa informatica che si realizza sulla rete Internet, nella maggior parte dei casi attraverso la posta elettronica. Motivo: carpire i dati degli utenti: username, password, codici di accesso (come il PIN del cellulare), numero di conto corrente, dati del bancomat e della carta di credito, ma anche informazioni di carattere privato sull’utente.
Chi lo pratica è un ladro che svuota i conti correnti, oppure uno spregiudicato che accumula dati personali per un data base da rivendere, un truffatore alla ricerca di una nuova identità digitale, un manipolatore per carpire segreti personali a scopo ricattatorio, per spionaggio industriale e via così di questo passo.
I 5 consigli del Garante per la protezione dei dati personali
Come difendersi dal phishing? 5 consigli utili per fare fronte alle truffe sul web sono stati pubblicati dal sito del Garante per la protezione dei dati personali, che riportiamo, testualmente, di seguito:
1) Il buon senso prima di tutto: Dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. In generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali.
Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone. Spesso dietro i nomi di siti apparentemente sicuri o le URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri. Una piccola accortezza, meglio posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
2) Occhio agli indizi: I messaggi di phishing spesso utilizzano imitazioni realistiche dei loghi o addirittura delle pagine web ufficiali di banche, aziende ed enti. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue.
E’ utile anche prestare attenzione al mittente o al suo indirizzo di posta elettronica. Meglio diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali.
3) Proteggersi meglio: è utile installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing. Programmi e gestori di posta elettronica hanno spesso sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing: è bene controllare che siano attivati e verificarne le impostazioni. Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network.
4) Acquisti online in sicurezza: se si fanno acquisti online, è più prudente usare carte di credito prepagate o altri sistemi di pagamento che permettono di evitare la condivisione di dati del conto bancario o della carta di credito.
5) La prudenza non e’ mai troppa: per proteggere conti bancari e carte di credito è bene controllare spesso le movimentazioni e attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata. Nel caso si abbia il dubbio di essere stati vittime di phishing, meglio contattare direttamente la banca o il gestore della carta di credito attraverso canali comunicazione conosciuti e affidabili.
Come si attiva la tecnica del phishing
La tecnica del phishing si applica, generalmente, nel modo seguente: l’hacker (il pirata informatico), invia una e – mail con mittente autorevole, come istituti finanziari (banche o società emittenti di carte di credito) o, da siti web che richiedono, per il loro accesso, la registrazione dell’utente (web mail o e-commerce).
L’oggetto della mail truffaldina, solitamente “fa riferimento ai problemi tecnici di registrazione o di altra natura”, motivo per il quale invita il destinatario a fornire i propri dati personali, in modo da risolvere l’impasse con il conto bancario o la carte di credito.
Attenzione: solitamente per rassicurare il destinatario è “indicato un collegamento (link) che rimanda solo apparentemente al sito web” autorevole – “sia esso istituto bancario o di servizio”, artificiosamente ricreato a immagine di quello originale che nasconde il vero mittente, il ladro d’identità o dei dati dell’utente o entrambi le cose.
Per carpire i dati, un’ulteriore modalità truffaldina, considerata dagli esperti “più subdola” è l’allegato alla mail che propaga il virus.
Oltre “ai file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf .
Nel caso si tratti di un mail con un allegato financial malware o trojan banking, il virus mira ai dati finanziari dell’utente. Oltre alle e-mail, si può cadere nella rete del phishing anche con un sms, chat o social media.
