Tecniche di phishing

Il phishing è un’attività fraudolenta volta a rubare informazioni personali e/o riservate (ad esempio, dati d’identità, password, dettagli di carte di pagamento, ecc.)

Solitamente, l’obiettivo principale del phishing è ottenere dati personali e credenziali di accesso per l’online banking. Gli ID utente, le password e le altre credenziali consentono ai truffatori di accedere ai conti bancari delle persone e di disporre a distanza dei fondi in essi contenuti (ad esempio, trasferendoli sui propri conti bancari).


Il furto di dati avviene in due modi principali:

  1. Contattando direttamente le persone e inducendole a rivelare volontariamente tali informazioni
  2. Utilizzando tecnologie dedicate che copiano i dati da vari siti web o dispositivi utilizzati per navigare in Internet e/o utilizzare servizi remoti

 
Il tipo più comune di phishing è il cosiddetto phishing ingannevole.

In questo caso, un truffatore si spaccia per un’istituzione o un’azienda legittima (ad esempio, un’agenzia governativa, le forze dell’ordine, un fornitore di servizi finanziari, una grande azienda di marca famosa, ecc). Lo stesso messaggio di posta elettronica o di altro tipo viene inviato a migliaia di persone nella speranza che alcune di esse rispondano.

Questi messaggi di solito richiedono una reazione molto rapida, sottolineando che potrebbero esserci conseguenze negative indesiderate se un individuo non risponde in tempo (ad esempio, l’istituzione intraprenderà azioni legali, i fondi della banca dell’individuo potrebbero essere rubati, il premio sarà assegnato a un’altra persona e così via).

Il più delle volte questi messaggi possono contenere link dannosi e/o altri riferimenti a siti speciali che chiedono alle persone di inserirvi le informazioni richieste. Non appena una persona fornisce queste informazioni su tali siti, esse diventano disponibili per il truffatore.

I truffatori più avanzati potrebbero sfruttare il meccanismo di controllo della sessione e dirottare la sessione di un sito legittimo. Quando un individuo accede a un’applicazione web, il server imposta un cookie di sessione temporaneo nel suo browser. I truffatori potrebbero rubare tali cookie di sessione o fornire a un individuo un link contenente un ID di sessione preparato prima che egli entri in una sessione di autenticazione. Queste azioni consentono ai truffatori di dirottare successivamente la sessione utilizzando lo stesso ID di sessione per la propria sessione del browser.

I metodi di phishing possono essere utilizzati anche creando falsi e-shop o altri siti. Per rendere tali siti più evidenti, i truffatori allettano le persone con prezzi bassi, consegna rapida della merce o altri vantaggi. Vengono utilizzati diversi motori di ricerca per raggiungere un pubblico mirato e indirizzarlo verso tali siti. I dati vengono rubati mentre un individuo preso di mira cerca di registrarsi o di acquistare i prodotti su tali siti.

I truffatori possono sfruttare i siti legittimi esistenti alterando un indirizzo IP in modo che venga reindirizzato a un sito falso anziché al sito a cui l’individuo intendeva accedere.

Anche l’invio di link o altri riferimenti a file infettati da determinati virus è una tecnica molto diffusa. Tali file infettano computer o altri dispositivi e potrebbero essere programmati per chiedere di digitare nuovamente password o altre credenziali durante la connessione a servizi bancari online o ad altri servizi remoti allo scopo di trasferire tali informazioni ai truffatori.

In primo luogo, è importante capire ed essere consapevoli che il phishing e i furti di dati possono avvenire ovunque, in qualsiasi forma e in qualsiasi momento, quindi è necessario essere costantemente attenti e vigili.

In secondo luogo, è necessario prendere le dovute precauzioni per mantenere al sicuro i dispositivi che si utilizzano:

  1. Usa strumenti e software che aiutano a mantenere sicuro il tuo computer o altro dispositivo (programmi antivirus, ecc.). Scarica Scaricare tali strumenti o software solo da fonti ufficiali e affidabili. Aggiorna questi strumenti e software in tempo.
  2. Evita di consultare siti oscuri e inaffidabili, di registrarti o di scaricare file da tali siti. Tali siti possono contenere link o file che possono infettare il vostro computer o altro dispositivo con virus che raccolgono i vostri dati personali.
  3. Dopo aver utilizzato il proprio account personale, disconnettersi da esso e chiudere la finestra del browser.
  4. Scegli password sicure e forti, composte da numeri, lettere e altri simboli. Non utilizzare password facili da indovinare (ad esempio 12345, solo il nome o il cognome o la data di nascita). Se hai più account diversi, usa sempre password diverse.
  5. Quando si crei un account o un messaggio di posta elettronica, scegli fornitori di servizi che utilizzano sistemi di autenticazione a due fattori (ad esempio, una password e un numero di telefono).   
  6. Attenzione ai più comuni falsi online che imitano:
    a) siti web che forniscono servizi di posta elettronica (gmail.com, yahoo.com, hotmail.com, ecc.);
    b) siti web sociali (facebook.com, vk.com);
    c) e-mail, estremamente popolari all’estero. sistemi di pagamento Paypal (paypal.com);
    d) altri siti web popolari.
  7. Non cliccare su link sospetti o poco chiari ricevuti nelle e-mail o trovati su pagine web dal contenuto sospetto.
  8. Prima di inserire i tuoi dati personali su siti web online, assicurati sempre che il sito non sia falso. È necessario prestare attenzione al nome del dominio e agli indirizzi dei link presenti sulla pagina. I sistemi di e-banking utilizzano sempre un protocollo di connessione sicuro SSL, l’indirizzo deve avere la dicitura HTTPS all’inizio e il certificato del sito può essere controllato. L’indirizzo dei siti web fasulli inizia quasi sempre con HTTP (senza s).

In terzo luogo, si noti che le istituzioni e le società di servizi legittime (ad esempio, le banche o altri fornitori di servizi finanziari) non chiedono ai loro clienti di rivelare le loro password di accesso o altre credenziali. Tali informazioni sono personali e solo tu sei autorizzato a conoscerle. Se tali informazioni vengono a conoscenza di terzi, dovrai informare immediatamente i fornitori di servizi di tali circostanze e modificare le tue password o altre credenziali.

In quarto luogo, se ricevi una richiesta di informazioni sensibili, presta attenzione a queste circostanze:

  1. L’indirizzo del mittente. Verificare se i dati dell’istituzione/società contenuti nelle e-mail o in altri messaggi corrispondono a quelli pubblicati sui loro siti web ufficiali o su altre fonti pubbliche. Le istituzioni/imprese di solito utilizzano le loro caselle di posta elettronica dedicate invece delle caselle di posta elettronica generali disponibili pubblicamente (ad esempio @gmail.com, @yahoo.com, ecc.).
  2. Qualità e contenuto del testo. Le e-mail o i messaggi ingannevoli spesso contengono errori di scrittura o di stile. Il testo potrebbe essere tradotto letteralmente senza seguire le regole di quella lingua (utilizzando programmi di traduzione pubblicamente disponibili). Il testo può anche utilizzare il linguaggio domestico, nomi o forme giuridiche imprecise di istituzioni o aziende (ad esempio, un ente pubblico può essere indicato come un’azienda). I motivi o le altre circostanze per cui ci si rivolge all’utente possono essere descritti in modo da adattarsi a qualsiasi situazione (ad esempio, se il dipartimento di polizia informa l’utente che i suoi dati di accesso ai servizi bancari sono stati rubati e che è necessario cambiare immediatamente tali dati di accesso, ma non nomina nemmeno la banca).
  3. Link forniti. I link fraudolenti contengono spesso una serie di numeri o indirizzi web sconosciuti. Se non siete sicuri che un link sia legittimo, non cliccatelo.
  4. Probabilità di ricevere la richiesta o l’offerta. Devi valutare se potevi aspettarti una lettera del genere e se è in linea con i fatti reali o con la prassi normale (ad esempio, ricevi un’e-mail in cui ti dicono che hai vinto alla lotteria anche se non hai partecipato ad alcuna lotteria; ricevi un messaggio presumibilmente dalla tua banca, anche se non invia mai messaggi in questo modo).

Se hai dubbi su una e-mail o un messaggio che hai ricevuto, contatta l’istituzione/società (che ti ha presumibilmente raggiunto) tramite i suoi dettagli di contatto disponibili pubblicamente sul suo sito web ufficiale o altra fonte affidabile.