Tentativi phishing: come riconoscere gli indizi più importanti

Il phishing rientra tra le minacce più comuni a cui siamo esposti in quanto utenti di Internet. Sempre più persone effettuano acquisti o svolgono operazioni bancarie su Internet. L’e-mail è lo strumento di comunicazione online più importante che molti truffatori sfruttano per mettere in circolazione messaggi fraudolenti contenenti link ambigui (che rimandano a siti web falsi) e indirizzi e-mail che prendono di mira le informazioni degli utenti più ingenui. In questo articolo vi sveliamo come tutelarsi dal furto di dati.

Cos’è il Phishing?

Il phishing è un tentativo di frode in cui un mittente si spaccia per un altro per ottenere le informazioni sensibili di una vittima ignara. Il termine deriva dall’inglese to fish, e richiama un concetto molto simile: nel phishing i truffatori utilizzano e-mail fraudolente come esca per “pescare” le password. La grafia con il “ph” rimanda al vocabolario degli hacker.

Come avvengono le frodi

Il meccanismo del phishing è piuttosto semplice: criminali cibernetici inviano e-mail apparentemente ufficiali di banche, fornitori di servizi di pagamento, negozi online o e-commerce, in cui si richiede agli utenti di inserire dati, o semplicemente cliccare su link che rimandano a pagine di login false. Chi in questo modo rivela informazioni sensibili, corre un alto rischio. L’obiettivo di questi attacchi di phishing è quello di riuscire ad accedere a nomi utente, password nonché PIN e TAN, per effettuare prenotazioni o acquisti a nome dell’utente. Purtroppo, gli utenti si accorgono di questi attacchi soltanto quando vedono i loro estratti conto.

Come riconoscere e-mail fraudolente

Un primo modo per proteggersi da truffe online può semplicemente essere  dare un’attenta occhiata alla propria casella di posta elettronica. I tentativi di phishing sono riconoscibili grazie ad elementi piuttosto chiari come per esempio mittenti sconosciuti, testi scritti male e con errori di ortografia, nonché link ambigui e moduli online.

  • Mittente: in ogni ipotetica e-mail della vostra banca o di un’azienda che offre servizi online la prima cosa che dovreste guardare è il mittente. Chiedetevi quindi se siete mai entrati in contatto con quella persona o con quella banca e se gli avete mai fornito il vostro indirizzo e-mail. Visualizzate l’indirizzo intero e confrontatelo con i messaggi che avete già ricevuto. Se non dovessero coincidere, allora è probabile che si tratti di una frode.

  • Forme di cortesia utilizzate: anche le forme stilistiche utilizzate nella e-mail aiutano a smascherare messaggi poco seri. Solitamente le aziende si rivolgono ai loro clienti chiamandoli per nome, cosa che i truffatori non sempre sanno. Se un messaggio comincia con “Gentili Signori e Signore” o altre forme standard, dovreste chiedervi perché il vostro istituto di credito o un eventuale negozio online non conosce il vostro nome.

  • Ortografia e grammatica: se un messaggio nella vostra casella di posta elettronica è pieno di errori grammaticali, potete stare certi che si tratta di una truffa. Errori di ortografia e informazioni contorte sono un chiaro indizio delle intenzioni fraudolente di quella e-mail, che probabilmente è stata scritta in un’altra lingua e poi tradotta da traduttori automatici. Lo stesso vale spesso per testi contenenti parole non accentate o lettere di altri alfabeti.

  • Link: non sempre un link presente in una e-mail è un segnale negativo. Prima di cliccare su quel link dovreste accertarvi che non vi porti su siti falsi. Provate a passare il mouse sul link e controllate l’indirizzo internet che viene mostrato in basso a sinistra nella finestra del browser. Verificate quindi: che l’URL coincida con quello che vi aspettavate e che siano presenti protocolli HTTP di sicurezza per la trasmissione di dati. Se avete dei dubbi non cliccate sul link e non inserite manualmente l’indirizzo Internet sul vostro browser.

  • Inserimento di dati: nessun negozio online chiede ai propri clienti di trasmettere i propri dati tramite e-mail. Un modulo HTML corrispondente, in cui debbano essere inserite le informazioni di login o le password, è pertanto un chiaro indizio di un tentativo di phishing. Anche i codici PIN e TAN non vengono mai richiesti telefonicamente o per e-mail. Inserite questi dati soltanto se potete verificare l’autenticità del sito tramite certificati di sicurezza.

  • Pressione: se una mail contiene un invito all’azione immediata è necessario prestare molta attenzione. I truffatori a volte usano le maniere forti per mettere sotto pressione gli utenti di Internet e per spingerli ad azioni avventate. Ma nessuna azienda minaccia un blocco della carta di credito o il ricorso a un’agenzia di recupero crediti, costringendo così a inserire una password o a scaricare un allegato. Se non siete sicuri, rivolgetevi all’assistenza clienti del prestatore.

Cosa fare contro i tentativi di phishing?

Se avete ricevuto un’e-mail che sembra un tentativo di phishing, prima di cancellarla dovreste spostarla nella cartella spam della vostra casella e bloccare il mittente. In questo modo bloccherete altri attacchi provenienti dallo stesso mittente. Per contenere l’aumento di messaggi fraudolenti anche in futuro, dovreste contattare l’azienda o la persona per cui si sta spacciando chi vi ha inviato l’e-mail. La maggior parte delle aziende mette a disposizione diverse possibilità di contatto, come per esempio moduli da compilare, con cui è possibile segnalare un tentativo di phishing.