Phishing: cos'è e come difendersi

09.05.2017

È capitato a tutti almeno una volta di arrabbiarsi di fronte alle numerose e-mail che si accumulano regolarmente nelle nostre caselle di posta elettronica e in taluni casi ci si trova di fronte a vere e proprie truffe informatiche.

Il phishing è un tentativo di truffa, realizzato solitamente sfruttando la posta elettronica, che ha per scopo il furto di informazioni e dati personali degli internauti. I mittenti delle email di phishing sono (o meglio, sembrano essere) organizzazioni conosciute, come banche o portali di servizi web, e hanno apparentemente uno scopo informativo: avvisano di problemi riscontrati con account personali dell'utente (home banking, portali di aste online, provider di posta elettronica, social network e altro) e forniscono suggerimenti su come risolvere le problematiche.

Nella stragrande maggioranza dei casi, sarà suggerito di cliccare su qualche link e fornire informazioni e dati personali per ripristinare l'account o metterlo al sicuro. Nel caso in cui si cliccasse sul collegamento e si fornissero le informazioni richieste, si finirebbe diritti nella rete dell'hacker-pescatore.

Un tentativo di phishing si articola solitamente di quattro fasi.

a) Invio di falsi messaggi di posta elettronica da parte del truffatore: sfruttando una botnet, l'hacker invia decine di migliaia di email che simulano, nella grafica e nel contenuto, comunicazioni da parte di un istituto bancario, di un provider web, di un sito di aste online o di qualsiasi altra istituzione nota all'utente;

b) Ricezione del messaggio: nel messaggio di posta elettronica si avverte che è stato riscontrato un problema di sicurezza e che c'è la necessità di controllare il proprio account cliccando su un link presente nel testo dell'email stessa;

c) Accesso al sito fasullo: il link rimanda, tuttavia, a un sito fittizio, ospitato su di un server controllato dal phisher, e che riproduce perfettamente le sembianze del portale istituzionale dell'istituto bancario o del portale di aste online;

d) Ricezione delle credenziali: una volta effettuato il login sul sito-copia, i dati sono archiviati nel database del server di chi ha condotto l'attacco, che potrà disporne a proprio piacimento. Può accadere, inoltre, che visitando il portale fasullo si sia infettati da trojan horse e malware di vario tipo: in questo caso lo scopo è prendere possesso di nuovi computer così da arricchire il parco macchine della botnet utilizzata per condurre l'attacco

Per riconoscere un attacco phishing è necessario prestare molta attenzione ai messaggi di posta che si ricevono e una buona dose d'intuito. I messaggi di posta elettronica contenenti un tentativo di phishing sembrano provenire, come detto, dalla banca o dall'istituto finanziario di fiducia, oppure da servizi web solitamente utilizzati (posta elettronica, social network e altro) o addirittura dalla Procura della Repubblica e sono contraffatti alla perfezione (o quasi). Nella stragrande maggioranza dei casi, i messaggi di posta elettronica contengono loghi dall'aspetto ufficiale e informazioni caratterizzanti prese direttamente da siti web legittimi. È tutt'altro che raro, inoltre, che nelle email si faccia riferimento a fatti del passato realmente accaduti che gli hacker reperiscono direttamente dagli account social personali.

Riconoscere un tentativo di phishing, comunque, non è così complicato. Solitamente contengono messaggi allarmanti (del genere "Verifica il tuo account" oppure "Se non rispondi il tuo account sarà chiuso in 48 ore"), invitano a inserire informazioni personali e credenziali web in portali esterni e, soprattutto, sono scritti in un italiano poco corretto. I messaggi di phishing, infatti, sono scritti in inglese e tradotti con strumenti web: raramente la forma del testo sarà corretta e ciò dovrebbe far risuonare nella testa dell'internauta un vero e proprio campanello d'allarme.

Per evitare che tutti i tentativi di attacco phishing "classici" fossero respinti al mittente, gli hacker hanno messo a punto nuove metodologie offensive. Una di queste sfrutta una falla nei sistemi di riempimento automatico dei vari browser (Chrome, Opera e Safari, ma anche di plugin come quello di LastPass) per trafugare informazioni senza che l'utente se ne rendesse conto.

Utilizzando i sistemi di riempimento automatico dei browser, infatti, dà modo ai gestori dei siti e dei portali web di raccogliere dati e informazioni personali senza informare l'utente. Anche se un portale richiede l'inserimento del nome e del cognome o solamente dell'indirizzo di posta elettronica, il gestore del sito avrà accesso anche agli altri dati del sistema di completamento automatico. In questo modo, senza rendersene conto, si stanno "regalando" dati personali senza che gli hacker debbano impegnarsi più di tanto.

Per proteggere le informazioni personali online sarebbe consigliabile utilizzare il riempimento automatico solo su portali "certi", oppure disattivare completamente la funzionalità e avere la certezza che nessuno potrà accedere ai nostri dati in maniera così semplice.

Se si è alla ricerca di segreti o strumenti anti-phishing assolutamente infallibili le armi di difesa degli utenti contro questa forma di truffa informatica si basano tutte (o quasi) sul buon senso.

Prima di tutto bisogna pensare che un'istituzione seria non chiederà mai i dati personali di un utente tramite email. Per questo bisogna controllare scrupolosamente che l'indirizzo del mittente e il link corrispondano perfettamente al sito web ufficiale e non contengano qualche "errore di battitura". Una delle tattiche utilizzate dai phisher è quella di utilizzare url civetta, dove la differenza tra gli indirizzi dei due siti è di una sola lettera (paipal.com anziché paypal.com, ad esempio). Per avere la certezza che il proprio account non corra alcun pericolo, è buona norma utilizzare la pagina di login usuale, evitando di accedere tramite il link presente nel messaggio di posta elettronica.

Con riferimento al phishing è ipotizzabile la violazione dell'articolo 615 quater c.p. (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici) nonché dell'articolo 640 c.p. (truffa).

Per segnalare raggiri, truffe e spam è possibile farlo online direttamente sul sito di commissariato di P.S. online, si tratta di un vero e proprio ufficio internet gestito dalla Polizia Postale e delle Comunicazioni attraverso il quale inviare informazioni e fare segnalazioni di reati che avvengono sul web quali il phishing, l'hacking, il furto di codici bancomat e carte di credito, truffe e-commerce, spamming, pedofilia online, violazioni del diritto d'autore online e telefonia.

Per effettuare una denuncia alla Polizia Postale occorre recarsi sulla homepage per le segnalazioni all'interno della quale vi sono diversi riquadri da compilare. Poiché si tratta di una vera e propria segnalazione, prima di effettuarla siate molto sicuri delle vostre intenzioni. Una volta effettuata la denuncia, la Pubblica Sicurezza aprirà un regolare fascicolo che verrà trasmesso alla Procura della Repubblica per ottenere le necessarie autorizzazioni a procedere.

Per maggiori informazioni o per chiedere una consulenza scrivi a laurafagotto@gmail.com o compila il modulo