Il phishing è una truffa effettuata online con la quale vengono sottratte, ogni anno, milioni di credenziali. Saperlo riconoscere è fondamentale. Con questo articolo puoi valutare le tue competenze in materia e scoprire come individuare le truffe.
Il phishing è una truffa effettuata online, solitamente via mail, con cui i cybercriminali cercano di ingannare la vittima convincendola a fornire loro informazioni personali, dati di accesso a conti online o carte di credito.
Come funziona un attacco phishing
Un tipico attacco phishing inizia con un messaggio via posta (ma anche via Whatsapp o Facebook) in cui un mittente più o meno noto o attendibile, come una banca o una grossa società, invita l’utente a cliccare su un link che lo riporta a un sito web molto simile a quello ufficiale. In questa interfaccia viene richiesto l’inserimento di credenziali di accesso, informazioni personali o anche di effettuare un pagamento.
In questo modo i malintenzionati riescono a impadronirsi di questi dati in chiaro e possono quindi rubare l’identità (o il conto in banca!) al malcapitato.
Esistono diversi livelli di attacchi phishing, i più banali vengono tranquillamente filtrati dai sistemi antivirus, altri sono contenuti in email chiaramente fasulle ma, ultimamente, i cybercriminali stanno diventando sempre più attenti e utilizzano tattiche di ingegneria sociale verosimili, a cui è facilissimo abboccare.
Come si riconosce un tentativo di phishing
Le mail di phishing si presentano, come detto, inviate da grandi società, da banche o comunque da un mittente attendibile (un cliente, un fornitore o un amico, ad esempio) e, con una scusa, richiedono all’utente di cliccare su un link, che lo riporterà a una pagina web in cui dovrà inserire i suoi dati.
Il testo della mail, nonostante sia oggi piuttosto preciso (i cybercriminali, anche dall’estero, hanno iniziato a tradurre con Google Translate, servizio che sta diventando sempre più attendibile), presenta spesso dei piccoli errori e questo dovrebbe iniziare a insospettirci.
È poi molto importante verificare chi sia il mittente ma attenzione, a volte l’indirizzo mail da cui arriva la comunicazione può differire da quello originale solo per una lettera o per l’ordine delle parole.
Infine, prima di cliccare su un qualsiasi link, passandoci sopra il mouse, potrete vedere in basso a sinistra quale sarà la pagina di destinazione del clic: la stringa può essere composta da più parole, le prime anche con riferimenti a quello che crediamo sia il mittente originale, l’indirizzo reale di destinazione è però l’ultimo, preceduto dal classico punto com/it/net ecc.
Un altro consiglio che possiamo dare è quello di non aprire mai gli allegati, soprattutto se non si è certi al 100% del contenuto. Può essere infatti che alcuni file siano degli eseguibili e che, una volta lanciati, installino in autonomia qualche virus sulla macchina.
Ricordiamo poi che è buona prassi evitare di inserire i propri dati o quelli aziendali prima di essersi accertati dell’autenticità del mittente, attraverso una comunicazione ufficiale.
Pensi di aver capito come riconoscere ed evitare un attacco phishing? Mettiti alla prova con il test di Google!
Per fare il test sarà sufficiente cliccare sul link (non è un attacco phishing, fidatevi), inserire un nickname, una mail fasulla e rispondere alle domande!
Hai bisogno di formazione o consulenza sulla sicurezza informatica per te o per i tuoi dipendenti? Contattaci!