Siamo nell’era di Internet, i computer sono entrati a far parte delle nostre vite, siamo perennemente connessi alla Rete, ci scambiamo email, tweet, foto. Possiamo controllare in remoto la nostra casa, leggere il nostro estratto conto, giocare in borsa, partecipare a tornei di poker. Attività che prima era impensabile fare seduti comodamente in poltrona o comunque tra le mura domestiche.
Tuttavia la Rete non è il paese delle meraviglie, sono molte le insidie che attendono gli ignari visitatori. Virus e malware pronti ad attaccare i computer indifesi, trojan-horse mascherati da programmi per ottimizzare il pc, pubblicità ingannevoli che attivano script malevoli, cookie traccianti e siti di phishing. Diamo un’occhiata da vicino a quest’ultimo.
Il termine phishing deriva dalla parola inglese “fishing”, che significa pesca, e dalla parola “phreaking” che rimanda a quell’insieme di tecniche usate per "pescare" agli utenti password e dati sensibili.
Il phishing non è altro che una truffa informatica attraverso la quale il malintenzionato di turno inganna l’utente spingendolo a fornire password e informazioni relative ad account bancari, finanziari, email, carte di credito e altro.
Certo nessuno di noi, confiderebbe ad uno sconosciuto, il numero del proprio conto in banca e la password o le proprie credenziali email, ma i modi con cui avviene la "pesca" dei nostri dati sono subdoli ed è facile cadere nella trappola.
Solitamente il tentativo di phishing avviene spedendo un’email all’utente (di solito a più utenti, il cosiddetto mail bombing) che in tutto e per tutto simula l’aspetto e le fattezze, per esempio, del vostro sito bancario.
Nella mail di solito sono riportate situazioni o problematiche (scadenza account, ritiro di un regalo, premi, addebiti fasulli, ecc.) con la promessa che verranno risolte facendo login al sito.
In questo momento avviene il furto dei vostri dati, già… perché il link contenuto nell’email, celato sotto il pulsante a voi familiare, in realtà non vi riporterà al sito a voi noto, bensì ad un suo clone costruito ad hoc, al solo scopo di ricevere la vostra user-id e password.
Purtroppo una volta inseriti i vostri dati, il phisher li userà per gli scopi più disparati, tra i quali trasferire ingenti somme di denaro dal vostro conto.
Ovviamente è possibile difendersi dal phishing con piccoli accorgimenti. Vi ricordo che il solo antivirus non vi difenderà da simili minacce, sarete voi a dover fare la differenza. Nel caso preferiate demandare il compito al vostro PC basterà dotarlo di una delle tante “Security Suite” in commercio.
Tuttavia, vista la crescita dei siti di phishing, adesso i browser più comuni sono equipaggiati di filtri anti-phishing che verificano l’attendibilità dei siti che visitate.
Una delle prime cose da fare, è quella di attivare sul proprio conto, il classico servizio di SMS Alert che oggi molti istituti bancari offrono: in tal modo sarete sempre avvisati sui movimenti di denaro sul vostro conto con un piccolo SMS.
Altro particolare da tenere sotto controllo è quel piccolo lucchetto, visibile nei vostri browser, che compare solo quando la connessione è protetta con standard SSL. I siti attendibili, per garantire la sicurezza dei dati dei loro clienti, usano suddetto protocollo di comunicazione. Se siete convinti di essere nel sito della vostra banca e non vedete il lucchetto, molto probabilmente siete finiti nel sito del phisher.
Possiamo inoltre verificare che il mittente dell’email ricevuta sia quello che dice di essere; ai nostri occhi comparirà un nome familiare ma a noi interessa il vero indirizzo email, quello con la "chiocciolina" per intenderci. Su alcuni client di posta è possibile vederlo semplicemente soffermandosi con il puntatore sul mittente; alcune webmail mostrano sia nome che indirizzo.
Ebbene, una volta visualizzato, se solo di una virgola si discosta dall’indirizzo email ufficiale della vostra banca o altro (reperibile in tutte le homepage nella sezione "contatti") allora potete cestinare tranquillamente la mail poiché si tratta di phishing.
Per fugare ulteriori dubbi, alla ricezione dell’email, prendete atto del suo contenuto (senza cliccare su nessun link o pulsante al suo interno) e aprite il vostro browser preferito, andate nella homepage della vostra banca/sito/gestore e accedete alla vostra area personale: se davvero volevano comunicarvi qualcosa, un avviso lo dovreste trovare anche li, non vi pare?
Infine, armatevi di buon senso: nessun istituto di credito userà mai una mail per comunicarvi un problema o altro e mai vi chiederà le vostre credenziali di accesso. E soprattutto mai nessuno, vi scriverà dicendo che avete vinto un premio o somma di denaro e vi chiederà di inserire il vostro numero di carta per accreditarvelo.
I regali, se sono veri, arrivano direttamente a casa, non passano per la posta elettronica.