Phishing: cos'è e come proteggersi

Nonostante il significato di phishing sia ormai abbastanza conosciuto dalla maggior parte degli utenti, ci sono ancora degli aspetti che possono sfuggire a qualcuno. 

Prima cosa: non tutti gli hacker agiscono allo stesso modo e, soprattutto, non basta sapere riconoscere una mail fraudolenta per stare al sicuro. 

Se sei qui, molto probabilmente ti stai chiedendo cos’è esattamente il phishing, come funziona e come difenderti da un attacco di questo tipo, che talvolta può risultare quasi innocuo.

D’altronde, il phishing è uno strumento semplice ed efficace che gli hacker utilizzano per indurti a fornire dati sensibili o a scaricare un software dannoso.  Per aiutarti a continuare a navigare in sicurezza, in questo articolo ti spieghiamo non solo cos'è il phishing, ma anche come evitarlo. Cominciamo!

Il significato di phishing si può intuire già dalla parola stessa, composta dai due termini inglesi “fishing” (pescare) e “phreak” (un metodo per hackerare i sistemi di telecomunicazione, in particolare per ottenere chiamate gratuite).

Si pronuncia allo stesso modo di “fishing”, e in un certo senso rappresenta un’attività molto simile alla pesca: anche in questo caso, infatti, si cerca di catturare la preda attraverso una serie di email, SMS o telefonate apparentemente innocue. 

In poche parole, un attacco phishing non è altro che una truffa online utilizzata dagli hacker sin dalla seconda metà degli anni novanta, truffa che si distingue per essere deliberatamente ingannevole e mascherata da comunicazione proveniente da fonti affidabili. 

In particolare, il messaggio o la mail spingono la persona che legge a compiere un'azione immediata. Ad esempio, potresti ricevere una comunicazione che sembra provenire dalla tua banca, nella quale ti viene richiesto di aggiornare i tuoi dettagli accedendo a un link.  Se “abbocchi” e segui il link, verrai reindirizzato a una copia del sito web originale (inclusi banner e marchi ufficiali) per trarti in inganno e farti inserire i tuoi dati. 

Gli hacker possono in questo modo rubare i tuoi dati sensibili, tra cui password, numeri di conto o dati del passaporto. La buona notizia è che, se sai cos’è il phishing e non abbocchi, la tattica non avrà successo.

La sicurezza in N26

La tua sicurezza è la nostra priorità. Segui i nostri consigli per proteggerti online.

Scopri la guida sulla sicurezza online

Grazie alla sua capacità di trarre potenzialmente in inganno milioni di persone in poco tempo, l’attacco phishing rappresenta una delle truffe più utilizzate dagli hacker di tutto il mondo. 

A tal proposito, l’ultimo rapporto Clusit, l’Associazione Italiana per la Sicurezza Informatica, mostra come le segnalazioni di attacchi di Phishing e Social Engineering siano cresciuti del +63,8% solamente nel primo semestre del 2022.  Ciò significa che, nonostante tantissimi utenti sappiano cos’è il phishing e come funziona, gli hacker riescono ad essere sempre un passo avanti, aggiornandosi nel proprio approccio e diventando sempre più credibili.

D’altronde, al giorno d’oggi è difficile vedere email di phishing in cui vengono promessi milioni di euro gratuitamente, o inviti a cliccare un pop-up palesemente truffaldino.  Difatti, i testi moderni sono spesso scritti con intelligenze artificiali particolarmente avanzate, o addirittura manualmente dall’hacker stesso, risultando quasi “affidabili” rispetto al passato, soprattutto a causa dell’utilizzo di loghi, marchi e indirizzi email ufficiali.

Le e-mail restano sicuramente la forma più diffusa per eseguire un attacco phishing, ma esistono tanti altri approcci che risultano altrettanto credibili. Tra questi troviamo il cosiddetto “smishing”, ovvero un attacco che avviene sotto forma di messaggi SMS, efficace principalmente perché i siti web falsi e fraudolenti sono più difficili da riconoscere sugli schermi dei dispositivi mobili. 

Dall’altro lato troviamo attacchi che usano la crittografia, ovvero un metodo per rendere incomprensibile un messaggio a chi non è autorizzato a leggerlo. Anche se l'online banking moderno è sicuro, capita di imbattersi in episodi di phishing in cui i criminali riescono ad accedere ai dati senza dover infrangere le barriere di sicurezza. 

Ad esempio, nel 2020 una campagna SMS di phishing ha preso di mira alcune app bancarie per dispositivi mobili nel Nord America. Seguendo il link allegato al messaggio, le vittime erano reindirizzate verso una falsa pagina di login del proprio conto bancario online.

In qualche modo, conoscere il significato di phishing e il suo funzionamento potrebbe risultare quasi inutile, in quanto i messaggi risultano talmente credibili che anche un esperto farebbe fatica ad accorgersene.

Più l'email di phishing sembra originale, più probabilità ci sono che la vittima abbocchi alla trappola. Proprio per tale motivo, gli hacker cercano quasi sempre di imitare marchi famosi in tutto il mondo, con l’obiettivo di raggiungere il maggior numero di utenti possibili e raccogliere un gran quantitativo di dati sensibili. 

Un'inchiesta del 2019 di Vade Secure ha infatti rivelato come tra i marchi più famosi impiegati dagli hacker vi siano Paypal, Facebook, Microsoft, Netflix e Whatsapp. 

Questa interessante inchiesta mostra gli approcci più comuni che le email di phishing utilizzano per far “abboccare” le vittime.  Di solito si segnala “un'attività sospetta” dell'account della persona colpita, per il quale è necessaria una verifica immediata, ma ci sono approcci più creativi tra i quali l'offerta di affari fasulli, contenuti pornografici gratuiti, o fatture che richiedono un pagamento (ad esempio da parte di Amazon). 

Anche i fatti di attualità possono essere comuni in un attacco di phishing massivo: recentemente, infatti, anche l'Organizzazione Mondiale della Sanità (OMS) è stata vittima di un attacco. 

Le email sembravano promemoria utili da parte dell'OMS con istruzioni su come prevenire il diffondersi del coronavirus. Spinti dalla paura nei confronti della pandemia, gli utenti hanno seguito un link per accedere a un documento, per poi finire su una pagina di login falsa di Microsoft Office nella quale ogni dato inserito veniva automaticamente trasmesso agli hacker.

In questi casi, conoscere il significato di phishing e il suo funzionamento potrebbe prevenire l’inserimento di informazioni sensibili, in quanto l’utente farebbe molta più attenzione al sito in cui sta navigando, cercando di scovare elementi sospetti all’interno della pagina. 

Come già anticipato, il significato di phishing racchiude in generale qualsiasi tentativo fraudolento di adescare vittime attraverso email o link fasulli. 

Alcuni attacchi sono noti come “campagne” in quanto hanno un unico stile, ovvero utilizzano uno stesso modello di email che viene spedito ad un gran numero di persone, come ad esempio la campagna sull'epidemia del coronavirus. 

Tuttavia, esistono forme più sofisticate decisamente più difficili da scovare. Ciascuna di queste tipologie di attacchi prende il nome da un tipo di pesca realmente esistente. Di seguito, quindi, cercheremo di capire come il significato di phishing può assumere diverse sfumature a seconda della tipologia di attacco utilizzata dall’hacker. 

Lo “spear phishing” mira ad individui specifici, un po’ come se si trattasse di una caccia ad un tipo di pesce in particolare. Gli hacker studiano accuratamente i propri bersagli e spediscono loro un messaggio fatto su misura. 

In questi attacchi, tra l’altro, è comune mirare a dipendenti di singole organizzazioni, creando messaggi ad hoc che sembrano arrivare dai colleghi. 

A tal proposito, all’interno del documento Tendenze negli scenari di minaccia del 2020, Symantec mostra la considerevole crescita di e-mail mirate relative alla diffusione del COVID-19, e-mail utilizzate esclusivamente per convincere le vittime a fornire i propri dati sensibili.

Lo spear phishing, quindi, è una forma di attacco phishing capace di rimanere aggiornata, tant’è che nel primo trimestre del 2020 sono state ben 31.000 le società ad aver subito truffe di questo tipo tramite mail aziendali.

Il “whaling” è un tipo di attacco phishing che mira alle “balene”, ovvero bersagli di una certa importanza, come ad esempio amministratori delegati e politici.  I guadagni derivanti da questa tipologia di attacco sono potenzialmente enormi, motivo per cui i malintenzionati tendono a pianificarli nei minimi dettagli. D’altronde, per arrivare a contattare un CEO o una qualsiasi figura di rilievo all’interno di un’azienda, bisogna assumere un approccio davvero credibile ed entrare in possesso di contatti vicini a quella specifica persona.

Il “clone phishing” è un attacco sofisticato che intercetta la corrispondenza originale per assumere un livello maggiore di credibilità. 

In poche parole, l’hacker clona un’email da parte di una fonte affidabile. Così facendo, la vittima vedrà l'email come una sorta di continuazione della conversazione precedente, con la differenza che al suo interno può celarsi un link molto pericoloso. In questo senso, conoscere alla perfezione il significato di phishing può aiutare ad evitare situazioni spiacevoli. Una buona abitudine, a tal proposito, è quella di controllare sempre l’URL prima di cliccare sopra un link, accertandosi dell’ufficialità dei loghi e dell’email utilizzati dal mittente.

Il “vishing” è un attacco di phishing che avviene telefonicamente. L'approccio è lo stesso di tutte le altre tipologie che abbiamo appena visto, ovvero dare all’interlocutore un'impressione di serietà allo scopo di ottenere dati sensibili da parte della vittima. 

Quando si riceve una telefonata, quindi, bisogna sempre procedere con cautela, evitando di fornire qualsiasi tipo di informazione sensibile. Questa forma è forse la meno credibile, in quanto capita spessissimo di ricevere telefonate palesemente truffaldine.

Tuttavia, esistono ancora casi in cui un attacco phishing di questo tipo riesce ad andare a buon fine.  

Come si fa a prevenire possibili attacchi di phishing? La risposta è che non c’è una vera e propria legge che determina come evitare tali situazioni, ma ci sono alcune precauzioni da prendere in atto che risultano abbastanza efficaci.

A volte puoi riconoscere un'email di phishing grazie alla sua apertura apparentemente generica (“Gentile signore” o “signora”), senza nessun riferimento al tuo nome e cognome. 

Se l'email sembra essere stata spedita da un'azienda con la quale non hai mai avuto a che fare, inoltre, è probabile che provenga da una campagna di phishing di massa: ignorala e segnalala se necessario. 

Inoltre, ogni volta che ricevi un messaggio in cui ti si chiede di agire in qualche modo, chiediti: “questa persona di solito mi contatta tramite email per queste richieste?”  Fai poi attenzione al tono e al linguaggio usato nella corrispondenza, cercando di trovare anche il più piccolo errore. Qualcosa ti sembra insolito? Presta particolare attenzione e se hai sospetti rispondi con una nuova email invece di continuare il thread di quel messaggio. 

La maggior parte delle email di phishing, tra l’altro, include un link che può reindirizzare a un sito web fraudolento. Questi siti sono il “portale” dove inserire le proprie informazioni, regalandole inconsapevolmente agli hacker. 

In aggiunta, un consiglio è quello di controllare sempre l'indirizzo del sito web in questione, per es. “wwwn26.com” invece di “www.n26.com”. Se utilizzi Chrome, a tal proposito, verifica che a fianco alla barra degli indirizzi sia presente il simbolo del lucchetto, che indica una connessione sicura.  Sii sempre scettico sui siti web reindirizzati (in cui l'URL cambia e conduce a un'altra pagina). Se un link ti sembra sospetto e vuoi andare sul sicuro, apri una nuova finestra e visitalo direttamente. 

Per esempio, se ricevi un'email da parte di Paypal con un link per effettuare il login, accedi a Paypal dal tuo browser. Se tutto combacia, puoi entrare nel tuo account autonomamente per ottenere ulteriori informazioni in sicurezza.

Come avrai intuito, conoscere il significato di phishing non è l’unica cosa da sapere, in quanto ci sono tantissime precauzioni da prendere se si vuole mantenere un elevato livello di protezione da questi attacchi. 

Per difenderti dagli attacchi di phishing senza dover controllare ogni minimo particolare ogni volta che ricevi un’email, è possibile seguire alcune buone norme di sicurezza online. 

Di seguito alcuni utili suggerimenti su come prevenire episodi spiacevoli nel modo più semplice possibile:

• Assicurati che il software di sicurezza del tuo computer sia costantemente aggiornato;
• Installa un'estensione anti phishing sul tuo browser web;
• Crea una password sicura e complessa e non usare mai la stessa per account diversi;
• Accertati che il tuo smartphone abbia gli ultimi aggiornamenti installati
• Quando accedi a un’app o a un’area riservata, attiva l'autenticazione a due fattori (2FA) per effettuare il login tramite un codice inviato via SMS al tuo smartphone o un token di sicurezza.
• Non rendere pubblici i tuoi dati sensibili. Per quanto riguarda il tuo conto N26, ad esempio, ti consigliamo di non fotografare e non diffondereil codice a 10 cifre presente sulla tua carta. Ricorda inoltre che il nostro Supporto Clienti non ti chiederà mai la tua password o il numero della carta di credito via email.

Grazie ad attacchi sempre più sofisticati, gli hacker potrebbero essere in grado di aggirare tutte le misure sopracitate per impossessarsi dei tuoi dati sensibili. 

Se resti vittima di un attacco, ecco alcuni modi per segnalarlo immediatamente:

• Contatta direttamente il tuo provider email, ad esempio il Supporto Google se usi Gmail;
• Contatta direttamente l'azienda di cui sono state imitate le informazioni per farle sapere cos'è successo;
• Se i tuoi dati sensibili sono stati rubati, rivolgiti subito alla Polizia Postale. I clienti N26, ad esempio, possono segnalare ogni caso di phishing utilizzando la chat presente all'interno dell'app e sul sito web N26. 

In ogni caso, grazie alle informazioni contenute in questo articolo e alle misure di sicurezza adottate da N26, sarai certo di avere al tuo fianco un team di esperti che ti aiuterà in tutti i modi per evitare brutte sorprese. 

Il phishing, d’altronde, è una tecnica diffusa che fa affidamento sull'inconsapevolezza delle persone. Ti consigliamo quindi di restare vigile e seguire le indicazioni che ti abbiamo dato per evitare di cadere nella trappola.

Il conto corrente per gestire più facilmente il tuo budget

Effettua le tue operazioni bancarie e metti soldi da parte senza pensieri. Semplice, sicuro, smart: scopri il conto corrente con IBAN italiano che ti offre pieno controllo del tuo denaro

Lista d'attesa (nuova tabella)

Come molti marchi e banche internazionali, abbiamo notato diversi tentativi di attacchi di phishing ai danni dei nostri clienti. 

Per questo motivo, disponiamo di un team di esperti di sicurezza informatica che verifica quotidianamente la presenza di eventuali minacce sul Web per far sì che ciò non accada e consentirti di compiere le tue operazioni bancarie in totale sicurezza. 

Noi di N26 siamo sempre con te in caso di dubbi o sospetti di frode. Se pensi di aver ricevuto una comunicazione insolita, potenzialmente un attacco di phishing, contatta il nostro Supporto Clienti via chat utilizzando l’app ufficiale N26. I nostri agenti sapranno darti tutte le indicazioni utili per risolvere la situazione!