Il phishing: consigli per non abboccare

Come difendersi dalle truffe online

Internet ha rivoluzionato completamente la nostra vita, apportando una serie di benefici a cui non rinunceremmo mai. Lo usiamo per informarci, per inviare le foto a un amico, per ordinare la cena. Oggi con un clic riusciamo a fare qualsiasi cosa.  Eppure, esiste un’altra faccia della medaglia.

Quante volte abbiamo ricevuto un’email da un sito che riteniamo affidabile come quello della banca su cui abbiamo il conto o da un ecommerce su cui navighiamo abitualmente in cui ci si chiede di fornire nuovamente i nostri dati?

Forse il dubbio che possa trattarsi di un escamotage per fregarci ci sfiora pure ma poi, fiduciosi delle buone intenzioni altrui, inseriamo o aggiorniamo le nostre informazioni personali, comprese quelle sensibili. E così magari scopriamo che qualcuno ha fatto un bell’acquisto grazie alla nostra carta di credito.

È il cosiddetto phishing, una frode informatica, una truffa realizzata su Internet che ha come scopo il furto dei dati personali degli utenti, come il numero di carta di credito o le credenziali di accesso al servizio di home banking.

In genere il phishing avviene tramite messaggi di posta elettronica ingannevoli, che apparentemente provengono da un mittente attendibile come una banca, un istituto postale o un servizio di registrazione online. Se l’utente abbocca, verrà convinto a inserire i propri dati riservati cliccando su un link malevolo o scaricando un allegato infetto.

A volte gli hacker si accontentano di ottenere i dettagli della carta di credito della vittima o altri dati personali a scopo di lucro. Altre volte, le email di phishing mirano a impossessarsi delle credenziali di accesso dei dipendenti o di altre informazioni criptate per attaccare un’azienda specifica, causando notevoli danni economici.

Per realizzare queste frodi, i truffatori usano tecniche di ingegneria sociale che studiano e analizzano le abitudini delle persone, cioè delle potenziali vittime, per ricavare informazioni utili.

Phishing: un po’ di storia

Il termine phishing deriva dall’inglese fishing che significa pescare. Negli anni ‘70 si scopre che grazie a dei tranelli tecnologici ci si può concedere lo sfizio di chiamare gratuitamente. Questo fenomeno viene soprannominato phreaking, dall’unione di “phone” (telefono) e “freak” (persona fuori dal comune). A quei tempi non erano molti i computer da “hackerare” e così il phreaking diventa una tattica per fare telefonate a lunga distanza senza pagare.

Secondo i registri Internet, il primo phishing registrato pubblicamente risale al 2 gennaio 1996, in un newsgroup Usenet chiamato AOHell. America Online (AOL) a quel tempo è il maggiore fornitore al mondo di accessi a Internet, il bersaglio ideale degli hacker. I pirati di software lo usano per comunicare tra di loro e per attaccare gli utenti del portale. Quando AOL se ne accorge e chiude AOHell, gli hacker iniziano a fingersi dipendenti dell’azienda e chiedono alle vittime di confermare il proprio indirizzo di fatturazione per esigenze amministrative dell’azienda. Siccome il phishing è una pratica ancora pressoché sconosciuta, molti vengono colpiti da queste frodi. AOL invia subito una comunicazione ai propri utenti per chiarire che non avrebbe mai chiesto loro di specificare questo tipo di informazioni via email, ma ormai il danno è fatto.

Negli anni 2000, il phishing si indirizza verso i sistemi di pagamento online. Vengono attaccati principalmente i clienti di istituti bancari; in alcuni casi, l’identità degli utenti viene individuata e abbinata all’ente bancario di riferimento.

A seguire, ci sono i social network, grazie ai quali gli hacker si impossessano di dati personali per compiere furti di identità.

Un’indagine condotta dall’azienda di sicurezza informatica Kaspersky nel 2017 dimostra che Facebook è stato uno dei primi tre obiettivi per il phishing (8%), seguito da Microsoft Corporation (6%) e da PayPal (5%).

Phishing: come riconoscerlo

In genere la tecnica che gli hacker usano per le truffe è sempre la stessa. Mandano un’email fingendo che provenga da una banca, da una società che emette carte di credito o da un sito che consente l’accesso previa registrazione, come per esempio un ecommerce.

Le email non sono mai personalizzate ma generiche e richiedono informazioni personali per motivi non ben specificati. Si fa riferimento a difficoltà di registrazione, a problemi di accrediti, addebiti o trasferimenti di denaro su un conto online, alla scadenza di una password, al rinnovo della carta prepagata, all’accettazione dei cambiamenti delle condizioni contrattuali… All’utente viene espressamente chiesto di fornire i propri dati di accesso al servizio.

Nelle comunicazioni i truffatori usano il logo, il nome e il layout tipico dell’azienda imitata e invitano l’utente a collegarsi tramite un link a un sito simile a quello della banca o del servizio a cui sono registrati e a inserire le informazioni riservate.

Come difendersi dal phishing

Per evitare di incorrere nel rischio di phishing, si possono seguire alcune buone norme.

Innanzitutto, usate solo connessioni sicure, soprattutto quando accedete a siti sensibili. È consigliabile non collegarsi tramite connessioni sconosciute o wifi pubblici senza una password di protezione.

Verificate sempre la provenienza del messaggio. Se si tratta di un nome conosciuto come quello di un’azienda famosa ma con cui normalmente non avete alcun contatto, allora fatevi venire il dubbio.

Se un’email vi invita a cliccare su un link, insospettitevi. Prima di farlo, controllate sempre che l’indirizzo mostrato sia lo stesso indirizzo Internet al quale il link condurrà. Cercate eventuali errori ortografici, passate sopra il link con il cursore per leggere la URL reale o ancora meglio digitate voi stessi la URL nella barra degli indirizzi del browser.

Fate attenzione al tono dell’email. Se si rivolgono in maniera aggressiva e allarmante creando urgenza e minacciando la sospensione dell’account in caso di una vostra mancata risposta, diffidate.

Non condividete mai i vostri dati sensibili con parti terze. Le organizzazioni affidabili non chiedono informazioni di questo tipo via email.

Non aprite gli allegati di un messaggio se non siete certi dell’identità del mittente, soprattutto nel caso di messaggi ricevuti nella cartella Spam. Un allegato può contenere virus, ransomware o installare sul PC programmi che ne compromettono la sicurezza.

Controllate che la connessione sia HTTPS specialmente se si tratta di siti che contengono informazioni sensibili, come pagine per l’online banking, negozi online…

Cambiate spesso le password e rendetele indecifrabili il più possibile.

Installate sul pc un antivirus che protegga anche dal phishing. Ormai quasi tutti gli antivirus includono una funzione apposita che segnala il pericolo ogni volta che si clicca su un collegamento sospetto.

Ufficio di Polizia Postale e delle Comunicazioni

Se avete subito una frode informatica e volete evitare che qualcun’altro caschi nella stessa trappola potete sporgere denuncia. Esiste infatti un ufficio apposito dedicato alle frodi online. Si tratta dell’Ufficio di Polizia Postale e delle Comunicazioni, istituito con l’obiettivo di reprimere i crimini commessi attraverso strumenti informatici o telematici.

La Polizia postale è suddivisa in un servizio centrale con sede a Roma, che coordina 20 compartimenti regionali e 80 sezioni territoriali. Per denunciare i reati informatici ci si può recare in uno degli uffici o procedere sul sito internet, compilando un apposito modulo. Una volta completata la procedura, viene rilasciata una ricevuta telematica con cui comunque bisognerà presentarsi all’ufficio della Polizia postale prescelto per integrare la denuncia.

Il phishing e le banche: come farsi risarcire

La giurisprudenza da sempre ha precisato che gli istituti bancari sono tenuti ad adottare tutte le misure tecniche idonee a garantire un elevato standard di sicurezza nel consentire ai propri clienti di operare con i sistemi di home-banking e di effettuare pagamenti online, impedendo l’accesso al sistema a soggetti non abilitati.

Qualora si verifichi comunque un episodio di phishing, le vittime possono ottenere dal proprio istituto di credito il risarcimento dei danni subiti, cercando di recuperare le somme oggetto del furto.

Dovranno inviare all’istituto di credito una richiesta scritta tramite PEC o raccomandata, raccontando l’accaduto e allegando la documentazione in proprio possesso.

La banca avrà poi 30 giorni di tempo per rispondere. Se la risposta sarà negativa, il correntista potrà agire in giudizio nei suoi confronti. Prima di farlo, è obbligato per legge a promuovere un tentativo di mediazione, che può essere effettuato o davanti a un qualsiasi organismo di mediazione oppure davanti all’Arbitro Bancario Finanziario.

La Corte di Cassazione, infatti, in materia di truffa informatica ha riconosciuto la responsabilità della banca, affermando che quest’ultima deve risarcire i danni a meno che non dimostri il dolo o la colpa grave del correntista (Ordinanza n. 9158 del 12/04/2018).