Che cosa è il phishing?

Phishing, tradotto letteralmente “pescare” derivato dalla parola di variante inglese fishing, è la truffa informatica con la quale un hacker “phisher” mira a pescare appunto dati finanziari ad esempio di carte di credito o account bancari, password di Facebook,Twitter o dei più famosi siti di e-commerce.

Si stima che siano stati effettuati più di 500 000 attacchi a dimostrazione del fatto che questo fenomeno è in continuo aumento.

Come avviene l’attacco?

Come già accennato è un tipo di truffa nel quale l’ hacker malintenzionato cerca di ingannare la vittima di solito con un’ e-mail falsa dove si viene invitati a cliccare un link. Questo link appunto invita a fornire informazioni personali, dati finanziari o di account  fingendosi di essere un ente di rilievo come potrebbe essere un ente istituzionale,istituti bancari o servizi postali.

L’attacco si può descrivere in 5 passaggi:

1. Il phisher invia un e-mail al malcapitato simulando di essere un ente noto al destinatario come una banca, un sito di e-commerce e persino di corrieri espressi noti come Bartolini o GLS.
2. Di solito l’e-mail contiene avvisi di problemi con l’account, con il proprio conto corrente o nella spedizione di prodotti. Di solito questo messaggio contiene un link sul quale cliccare per risolvere questo inconveniente.
3. Una volta aperto il link quest’ultimo riporta ad un sito fittizio ma, attenzione, ben progettato e apparentemente uguale al sito ufficiale proprio per non destare sospetti, esortando l’utente a fornire dati di account o dati personali per effettuare un’ autenticazione al sistema.
4. una volta che il phisher ha acquisito i dati li utilizza per clonare carte di credito,trasferire somme di denaro e hackerare account ad esempio di social network.

In questa immagine si evince come l’hacker con questa email tenta di rubare un account di un istituto bancario facendo credere di poter ricevere un bonifico di una somma elevata di denaro, ma è evidente che è una truffa.

Invece questo tentativo di phishing è più subdolo e ingannevole:

In quest’altra immagine notiamo come il phisher tenta di rubare dati dell’account facendo credere che la propria carta di credito postale è stata sospesa per motivi di sicurezza. In questo caso faremo meglio ad andare in un ufficio competente e verificare se veramente ci sia qualche problema.

In quest’altra immagine notiamo che l’ e-mail ci invita ad accedere per proteggere il nostro account utilizzando un link che sembra quello ufficiale di Facebook, ma in realtà trattasi sempre di un tentativo di phishing.

 

Come prevenire questi attacchi?

Purtroppo questi attacchi non si prevengono.

Dobbiamo solo armaci di attenzione e buonsenso nel non cadere in queste e-mail trappola. Comunque c’è da dire che negli ultimi anni si sono fatti passi avanti nel tentativo di evitare questo problema, infatti istituzioni ed enti hanno fatto in modo di creare leggi e software appositi per proteggere gli account degli utenti.

Ci sono alcuni misure anti-phishing implementate nei browser come estensioni, plug-in o software contro questi attacchi  ma non garantiscono al 100% l’immunità da questo attacco.

Un consiglio è che se riceviamo segnalazioni per il nostro account postale, bancario o di qualsiasi altro account personale, di non seguire i link dell’ e-mail ma andare sul sito ufficiale del servizio e contattare il centro assistenza.

Nel caso in cui vorremmo effettuare una denuncia o segnalare online alla polizia postale un probabile tentativo ecco il link: https://www.denunceviaweb.poliziadistato.it/wfintro.aspx