Anche nel web e non soltanto nella vita reale esiste il rischio di furto: si chiama phishing ed è un vero e proprio tentativo di truffa con lo scopo di acquisire illecitamente informazioni e dati personali degli internauti.
“Se non rispondi il tuo account sarà eliminato” o “Verifica il tuo account”, sono i tipici messaggi che le possibili vittime di phishing ricevono con la richiesta di inserire i propri dati personali. Solitamente i mittenti sembrano aziende conosciute, banche o portali di servizi web, ma per riconoscere un tentativo di truffa basta avere un po’ di intuito.
In generale le email sono scritte in un italiano poco corretto e i messaggi sono esageratamente allarmisti. Ma soprattutto, i dati personali e le credenziali web dovrebbero essere inseriti in un portale esterno, elemento che dovrebbe far sospettare.
Un attacco di phishing può avvenire anche tramite un link su Facebook o un banner pubblicitario e la fonte sembra sempre attendibile: l’obiettivo dei truffatori è quello di rendersi credibili agli occhi della possibile vittima, creando nell’utente la sensazione di urgenza della risposta.
La ricezione del messaggio indurrebbe l’utente ad accedere al sito fasullo e a inserire le proprie informazioni. Una volta ricevute le credenziali, i dati vengono archiviati nel database del server di chi ha condotto l’attacco, permettendone l’utilizzo a proprio piacimento.
Oggi anche le modalità in cui effettuare il phishing si sono evolute, probabilmente perché l’uso del pc è sempre maggiore e l’utente inizia a riconoscere i campanelli d’allarme. Un esperto in sicurezza informatica, Viljami Kuosmanen, ha scoperto che esiste un nuovo metodo che utilizza il sistema di riempimento automatico dei vari browser come Chrome, Opera e Safari per trafugare informazioni. L’utente inserisce nome, cognome o soltanto l’indirizzo di posta in un portale e il gestore del sito avrà così accesso agli altri dati senza che lo stesso utente ne sia a conoscenza.
Come difendersi? Prima di tutto è meglio rendersi conto che un’azienda o un’istituzione seria non avrà mai motivo di chiedere dati personali tramite una semplice e-mail. È fondamentale quindi controllare sempre la provenienza del messaggio, leggendolo attentamente: sicuramente qualche errore potrebbe destare i primi sospetti. Spesso l’errore si nasconde nell’indirizzo stesso, visto che non di rado i phisher usano la tecnica dell’url civetta, cambiando solo una lettera rispetto al nome originale.
Qualora si abbia il dubbio di essere vittime di phishing e per scongiurare altri possibili attacchi informatici è possibile rivolgersi a dei professionisti in grado di accertare e risolvere il problema.
È sempre consigliabile utilizzare la pagina di login usuale del proprio account, senza accedere tramite link esterni presenti nel messaggio di posta. Per scongiurare eventuali dubbi, controllare periodicamente il proprio conto corrente e, infine, segnalare e-mail sospette contattando il proprietario o contrassegnandole come spam.
Chi vuole sferrare un attacco di phishing troverà modi sempre più arguti e sottili per trarre in errore l’utente. Quest’ultimo, invece, deve sempre tenere a mente l’importanza della navigazione sicura, il che vuol dire che prima di dare i dati personali, il nome o l’indirizzo di posta, è necessario verificare e domandarsi da chi arriva la richiesta.