Il phishing è una frode informatica per derubare il malcapitato di importanti datii sensibili come numeri di carta di credito e password
adv

Il phishing è un tipo di frode informatica utilizzata per derubare il malcapitato dei propri dati sensibili. Le informazioni più colpite sono: i numeri di carta di credito, password o i dati relativi al conto bancario

Negli ultimi anni gli attacchi informatici di questo tipo hanno avuto un incremento esponenziale. Tant’è che i truffatori sono sempre in cerca di nuovi stratagemmi.

Non si tratta più soltanto dell’invio di mail sospette. Oggi la truffa si è evoluta e passa anche dalle principali applicazioni di messaggistica e dai social network come Whatsapp, Twitter, Instagram o Facebook.

Cos’è il phishing?

Il termine phishing deriva dal termine inglese fishing, cioè pescare, questo perché il malcapitato che cade nel raggiro e come se abboccasse all’amo dei truffatori.

Generalmente un attacco phishing viene realizzato attraverso l’invio di mail oppure di link o ancora di messaggini.

All’apparenza il mittente sembrerebbe una fonte affidabile come un ufficio postale o una banca.

Questi messaggi, però, al loro interno contengono un invito a collegarsi a siti web che graficamente sono molto simili a quelli originali e ad inserire i propri dati personali come ad esempio: password o i numeri del conto corrente.

Per convincere i destinatari molto spesso i messaggi contengono anche dei finti alert su possibili violazioni del protocollo di sicurezza.

Purtroppo, una volta inseriti i dati, quest’ultimi vengono acquisiti dai truffatori e la truffa è andata a buon fine.

L’ultimo attacco phishing registrato in Italia

L’ultimo attacco phishing, in ordine cronologico, ha compromesso alcuni account utente sul portale NoiPa del Ministero dell’Economia e delle Finanze.

Lo scorso 20 dicembre, infatti, si sono verificati una serie di accessi abusivi  ai profili di alcuni dipendenti della P.A. sul portale NoiPa, successivamente i malviventi hanno sostituito il codice IBAN del conto corrente ed il numero telefonico dell’associato al fine di distrarre l’accredito degli emolumenti.

Questo è quanto diffuso in una nota dall’Ufficio di Gabinetto della Questura di Milano.

I truffatori probabilmente hanno ottenuto i dati di accesso all’account dagli stessi intestatari utilizzando una mail phishing. Marco Ramilli, fondatore di Yoroi, azienda che opera nel settore della cyber security, ha spiegato:

“E’ noto che mail di questo tipo fingono di provenire dall’istituto su cui c’è il conto della vittima e – spesso adducendo motivi di sicurezza – le chiedono i dati (facendoli inserire su un sito web che si camuffa come quello legittimo)”.

“Non sono noti i dettagli di questo attacco phishing, ma c’è un secondo aspetto da considerare: come hanno fatto i truffatori ad avere il secondo fattore di autenticazione, ossia il numero di telefono dove ricevere l’sms con il codice di accesso (aggiuntivo rispetto ai dati carpiti via phishing)?”

“E’ probabile che abbiano fatto un sim swapping: non le informazioni anagrafiche dell’utente hanno ottenuto la portabilità del numero, dall’operatore, su una sim in loro possesso”.

Come difendersi dal phishing?

Innanzitutto, è necessario dotarsi di un buon antivirus in grado di bloccare e segnalare come “spam” le mail potenzialmente pericolose.

Tuttavia, anche ai migliori antivirus può sfuggire qualcosa, allora come è possibile riconoscere mail sospette?

Le mail contraffatte generalmente vengono inviate in serie, quindi la prima verifica da effettuare è quella di controllare i destinatari della mail.

Se lo stesso messaggio è stato spedito a più persone molto probabilmente si tratterà di una truffa.

Se la curiosità vi spinge comunque ad aprire il link contenuto nel messaggio (AZIONE ASSOLUTAMENTE SCONSIGLIATA!!!) prima di inserire i dati richiesti è opportuno verificare alcune informazioni.

Di solito i siti web fasulli sono molto simili a quelli originali ma con alcune importanti differenze. Molto spesso questi siti contengono variazioni o alterazioni dei nomi reali o variazioni dei sottodomini o ancora domini particolarmente lunghi e complessi.

Ovviamente, non tutti sono esperti informatici ed in grado di riconoscere la truffa per cui è consigliabile in caso di dubbio contattare direttamente il presunto mittente del messaggio.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.