Phishing: che cos’è e come difendersi

Il phishing, variante della parola inglese fishing – pescare – è il termine usato per indicare una moderna  tipologia di truffa online che permette al truffatore – il phisher- di appropriarsi dei dati sensibili, in particolar modo degli estremi per l’accesso ai siti di e-banking o del numero di carta di credito, degli utenti che “abboccano”, col fine ultimo di effettuare disposizioni di denaro a favore dei suoi conti correnti o effettuare pagamenti. Generalmente i conti correnti verso i quali vengono indirizzati i bonifici dell’utente truffato sono situati all’estero in paesi che ancora non hanno particolari leggi in materia, così da rendere più ardua, se non impossibile, l’identificazione dell’intestatario.

Qual è il modus operandi del phisher?

Il modus operandi dei phisher è piuttosto semplice:

  1. Spedisce all’indirizzo email degli utenti da colpire dei messaggi che “ricalcano” quelli della banca, nei quali invita ad effettuare importanti operazioni sul conto corrente (in merito a problemi legati al conto, oppure per riscuotere una somma di denaro etc…). I truffatori non conoscono la banca delle persone a cui scrivono, ma contano sul fatto che l’invio massivo di email consenta di raggiungere sicuramente una quota di clienti della banca prescelta.
  2. Grazie ai link contenuti nell’email, indirizza gli utenti che vi cliccano sul sito fake della banca, localizzato su un server di proprietà del truffatore. Non è difficile creare siti quasi identici a quelli originali, in quanto è possibile tramite un apposito comando visualizzare il codice html con il quale è stato realizzato un sito e pubblicato sul web
  3. L’utente, per portare a termine l’operazione richiesta, dovrà inserire le proprie credenziali di login e password saranno memorizzate sul server del phisher, che potrà utilizzarle per disporre bonifici o effettuare acquisti.

Come possiamo difenderci dal phishing?

La regola migliore da seguire per non “abboccare” alle truffe dei phisher è quella di porre particolare attenzione nei confronti di messaggi contenenti richieste che generalmente non verrebbero mai sottomesse tramite email dalle banche o istituti simili che prevedono la movimentazione di denaro.

Cosa è il phishing?

Dunque, in caso di ricezione di email che invitano a compiere determinate azioni al fine di completare un’operazione, è sicuramente consigliabile non seguire i link contenuti nel messaggio, ma digitare l’indirizzo email ufficiale del presunto mittente, ad esempio della banca, ed accedere al sito. In questo modo, o contattando direttamente la banca o l’istituto coinvolti, sarà possibile capire se la richiesta contenuta nell’email sia genuina oppure no.

Strumenti che possono, a posteriori, aiutare a contenere i danni derivanti dal phishing una volta che l’utente abbia “abboccato”, sono i servizi di alert, che segnalano in tempo reale, tramite invio di sms o email, i movimenti effettuati sul conto corrente o con carta di credito, consentendo di poter eventualmente bloccare immediatamente la carta o avvertire la banca per bloccare le operazioni disposte dal conto corrente. Il servizio di alert è gratuito ed è sufficiente visitare il sito della banca o contattarla al numero verde per attivarlo.