Phishing: ecco cosa devi sapere per proteggerti online

Non cadere nella trappola del phishing. Ecco come riconoscerlo e difendersi dai tentativi di frode.

8' di lettura

Il phishing è uno strumento semplice ed efficace che gli hacker utilizzano per indurti a fornire dati sensibili o a scaricare un software dannoso. Per aiutarti a continuare a navigare in sicurezza, in questo articolo ti spieghiamo cos'è il phishing e come evitare di esserne vittima.

Il phishing è un efficace “trucco” impiegato dagli hacker sin dalla seconda metà degli anni Novanta. Si pronuncia allo stesso modo di “fishing” (“pescare” in inglese) e in un certo senso è simile alla pesca: anche in questo caso si cerca di catturare la preda tramite un'esca, rappresentata da una serie di email, SMS o telefonate apparentemente innocue. Il phishing è deliberatamente ingannevole e mascherato da comunicazione proveniente da fonti affidabili. Il messaggio spinge la persona che legge l'email a compiere un'azione immediata: ad esempio, potresti ricevere una comunicazione che sembra provenire dalla tua banca, nella quale ti viene richiesto di aggiornare i tuoi dettagli accedendo a un link. Se “abbocchi” e segui il link, verrai reindirizzato a una copia del sito web originale (inclusi banner e marchi ufficiali) per trarti in inganno e farti inserire i tuoi dati. Gli hacker possono in questo modo rubare i tuoi dati sensibili, tra cui password, numeri di conto o dati del passaporto. La buona notizia è che, se non abbocchi, la tattica non avrà successo.

Grazie alla sua capacità di trarre potenzialmente in inganno milioni di persone in poco tempo, il phishing resta uno strumento molto utilizzato dagli hacker di tutto il mondo. L'ultimo rapporto pubblicato da Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha rivelato che in Italia, nel 2018 le segnalazioni di attacchi di phishing sono aumentate del 30%. Benché le misure di sicurezza di molti account e-mail siano in grado di rilevare efficacemente questi attacchi, gli hacker stanno diventando più sofisticati nel proprio approccio. Sono finiti i tempi delle e-mail scritte male con promesse esagerate di guadagnare milioni di dollari semplicemente inserendo i propri dati bancari. Le email di phishing di questi tempi possono contenere informazioni personalizzate, marchi aziendali o URL all’apparenza autentici.

Le e-mail restano la forma più diffusa di phishing, ma non la sola: gli smartphone sono particolarmente vulnerabili, come dimostra il diffondersi dello “smishing” (attacchi phishing sotto forma di messaggi SMS), efficace principalmente perché i siti web falsi e fraudolenti sono più difficili da riconoscere sugli schermi mobili. Grazie alla crittografia (un metodo per rendere incomprensibile un messaggio a chi non è autorizzato a leggerlo), l'online banking moderno è sicuro. Tuttavia, qualche volta il phishing permette ai criminali di accedere ai dati senza dover infrangere le barriere di sicurezza. Ad esempio, nel 2020 una campagna SMS di phishing ha preso di mira alcune app bancarie per dispositivi mobili nel Nord America. Seguendo il link allegato al messaggio, le vittime erano reindirizzate verso una falsa pagina di login del proprio conto bancario online.

Più l'email di phishing sembra originale, più probabilità ci sono che la vittima abbocchi. Per questo motivo gli hacker imitano marchi famosi. Un'inchiesta del 2019 di Vade Secure ha rivelato come tra i marchi più famosi impiegati dagli hacker vi siano Paypal, Facebook, Microsoft, Netflix e Whatsapp. Questa interessante inchiesta mostra gli approcci più comuni che le email di phishing utilizzano per far “abboccare” le vittime. Di solito si segnala “un'attività sospetta” dell'account della persona colpita, per il quale è necessaria una verifica immediata. Ma ci sono approcci più creativi tra i quali l'offerta di affari fasulli, contenuti pornografici gratuiti, o fatture che richiedono un pagamento (ad esempio da parte di Amazon). Anche i fatti di attualità possono essere utilizzati nelle campagne di phishing: recentemente anche l'Organizzazione Mondiale della Sanità (OMS) è stata vittima di un attacco. Le email sembravano promemoria utili da parte dell'OMS con istruzioni su come prevenire il diffondersi del coronavirus. Spinti dalla paura nei confronti del morbo, gli utenti hanno seguito un link per accedere a un documento, per poi finire su una pagina di login falsa di Microsoft Office nella quale ogni dato inserito veniva automaticamente trasmesso agli hacker.

Viene definito phishing qualsiasi tentativo fraudolento di adescare vittime attraverso email o link fasulli. Alcuni attacchi sono noti come “campagne” con un unico stile, di solito con l'uso di uno stesso modello di email che viene spedito a masse di persone, come ad esempio la campagna su un'epidemia di coronavirus. Tuttavia, esistono forme più sofisticate che sono più difficili da scovare. Ciascuna di queste tipologie di phishing prende il nome da un tipo di pesca:

  • Lo “spear phishing” mira ad individui specifici, come se si trattasse della caccia a un tipo di pesce in particolare. Gli hacker studiano accuratamente i propri bersagli e spediscono loro un messaggio fatto su misura. In questi attacchi è comune mirare a dipendenti di singole organizzazioni, confezionando messaggi che sembrano arrivare dai colleghi. Un'inchiesta del 2019 di Europol ha messo in evidenza come lo spear phishing rappresenti una minaccia in crescita.

  • Il “whaling” è un tipo di phishing che mira alle “balene”: grandi bersagli, come ad esempio amministratori delegati o politici. I guadagni derivanti da questa tipologia di attacco sono potenzialmente enormi, per questo si tende a pianificarlo nei minimi dettagli.

  • Il “clone phishing” è un attacco sofisticato che intercetta la corrispondenza originale. L'hacker clona un’email legittima da parte di una fonte affidabile: per la vittima l'email sembra essere la continuazione della conversazione precedente, ma al suo interno può celarsi un link molto pericoloso.

  • Il “vishing” è un attacco di phishing che avviene telefonicamente. L'approccio è lo stesso: dare un'impressione di serietà allo scopo di ottenere dati sensibili da parte della vittima. Bisogna sempre procedere con cautela se si riceve una telefonata inattesa che richiede dati sensibili.

Come puoi prevenire possibili attacchi di phishing? A volte puoi riconoscere un'email di phishing grazie alla sua apertura apparentemente generica (“Gentile signore” o “signora”), senza nessun riferimento al tuo nome e cognome. Se l'email sembra essere stata spedita da un'azienda con la quale non hai mai avuto a che fare, è probabile che provenga da una campagna di massa. Ignorala e segnalala se necessario. Ogni volta che ricevi un messaggio che ti chiede di agire in qualche modo, chiediti: questa persona di solito mi contatta tramite email per queste richieste? Fai attenzione al tono e al linguaggio usato nella corrispondenza, anche ai piccoli errori. Qualcosa ti sembra insolito? Presta particolare attenzione e se hai sospetti rispondi con una nuova email invece di replicare direttamente al messaggio. La maggior parte delle email di phishing includono un link che ti reindirizza a un sito web contraffatto. Questi siti di phishing sono il “portale” dove inserire le proprie informazioni, regalandole inconsapevolmente agli hacker. Assicurati di controllare l'indirizzo del sito web in questione, per es. “wwwn26.com” invece di “www.n26.com”. Se utilizzi Chrome, verifica che a fianco alla barra degli indirizzi sia presente il simbolo del lucchetto, che indica una connessione sicura. Sii sempre scettico sui siti web reindirizzati (in cui l'URL cambia e conduce a un'altra pagina). Se un link ti sembra sospetto e vuoi andare sul sicuro, apri una nuova finestra e visita direttamente il sito web. Per esempio, se ricevi un'email da parte di Paypal con un link per effettuare il login, accedi a Paypal dal tuo browser. Se tutto combacia, puoi entrare nel tuo account per ottenere ulteriori informazioni in sicurezza.

Fai attenzione ogni volta che ti viene richiesto di inserire dati sensibili. Ecco alcuni utili suggerimenti su come prevenire il phishing:

  • Assicurati che il software di sicurezza del tuo computer sia aggiornato

  • Installa un'estensione anti phishing sul tuo browser web

  • Crea una password sicura e complessa e non usare mai la stessa password per diversi account

  • Assicurati che il tuo smartphone abbia gli ultimi aggiornamenti installati

  • Quando accedi a un’app o a un’area riservata, attiva l'autenticazione a due fattori per effettuare il login (tramite un codice inviato via SMS al tuo smartphone).

  • Non rendere pubblici dati sensibili. Per quanto riguarda il tuo conto N26, ti consigliamo di non fotografare e non diffondere il codice a 10 cifre presente sulla tua carta. Ricorda che nostro Supporto Clienti non ti chiederà mai la tua password o il numero della carta di credito via email.

Grazie ad attacchi sempre più sofisticati, gli hacker potrebbero essere in grado di aggirare tutte le misure prese per contrastarli. Se resti vittima tuo malgrado di un attacco, ecco alcuni modi per segnalarlo:

  • Contatta direttamente il tuo provider email, ad esempio il Supporto Google (se usi Gmail)

  • Contatta direttamente l'azienda di cui sono state imitate le informazioni per farle sapere cos'è successo

  • Se i tuoi dati sensibili sono stati rubati, rivolgiti subito alla Polizia Postale. I clienti N26 possono segnalare ogni caso di phishing utilizzando la chat presente all'interno dell'app e sul sito web N26. In ogni caso, grazie alle informazioni contenute in questo articolo e alle misure di sicurezza adottate da N26, siamo sempre al tuo fianco per evitare brutte sorprese. Il phishing è una tecnica diffusa che fa affidamento sull'inconsapevolezza delle persone: resta vigile e segui le indicazioni che ti abbiamo dato per evitare di abboccare all’amo.

Come molti marchi e banche internazionali, abbiamo notato alcuni tentativi di attacco di phishing ai danni dei nostri clienti. Disponiamo di un team di esperti di sicurezza informatica che verifica quotidianamente la presenza di eventuali minacce sul Web per fare sì che ciò non accada e consentirti di compiere le tue operazioni bancarie in sicurezza. Noi di N26 siamo sempre con te in caso di dubbi o sospetti di frode. Se sospetti di aver ricevuto una comunicazione insolita, potenzialmente un attacco di phishing, contatta il nostro Supporto Clienti via chat utilizzando l’app ufficiale N26. I nostri agenti sapranno darti tutte le indicazioni utili per risolvere la situazione.

Articoli correlati

Ti potrebbero anche interessare...