Viviamo in una realtà fortemente permeata di tecnologia informatica, questo ormai è sotto gli occhi di tutti. Soprattutto negli ultimi dieci anni, la maggior parte delle attività che prima eravamo abituati a svolgere spostandoci di casa sono state trasposte in via digitale. Pensiamo, ad esempio, al pagamento di bollettini o fatture: se fino ad una quindicina di anni fa era necessario spostarsi alla banca, o al centro postale, oggi bastano alcuni click (o tap sullo schermo dello smartphone) per portare a termine il pagamento comodamente da casa.

L’avanzamento rapidissimo delle tecnologie, però, ha introdotto una serie di nuove problematiche e in particolare diversi nuovi pericoli. Uno dei più diffusi prende il nome di phishing: una tecnica di truffa che analizzeremo qui di seguito. Prenderemo spunto da un’infografica, e difatti vi spiegheremo proprio come si legge in questa infografica la serie di dati presentata, così da capire in modo chiaro l’entità del pericolo rappresentato dal phishing.

Procediamo quindi alla spiegazione completa e alla lettura dell’infografica phishing in questione.

Cos’è il phishing?

Partiamo dalla base, ovvero: cos’è il phishing? Si tratta di una truffa informatica il cui nome, a chi mastica un po’ di inglese, potrebbe suggerire già qualcosa. Ricorda infatti “fishing”, pescare, e difatti l’idea alla base dell’espressione è quella: il truffatore cerca di “far abboccare” la vittima, facendola cadere in una trappola da cui è molto difficile liberarsi.

Come citato dall’infografica phishing citata, si tratta di una variante della sostituzione d’identità. Tramite questa truffa, i cyber-criminali mirano a ottenere tutti i dati sensibili di una vittima – dati anagrafici e di accesso a conti bancari, solitamente – per sostituirsi alla vittima stessa, e poter agire indisturbati sfruttando questi accessi, ad esempio prelevando denaro, effettuando pagamenti o altre manovre, per l’appunto grazie all’identità sottratta ad una vittima.

L’infografica phishing citata spiega per bene l’entità del fenomeno: soltanto nel 2018 questa tecnica di truffa ha fatto perdere la cifra di 21 milioni di euro su base annua, e rappresenta in generale il 16% degli attacchi informatici condotti a utenti. Il 32.27% di questi attacchi viene condotto nei confronti di account su grandi portali Internet, mentre il 18.26% cerca di raggiungere conti bancari e il 9.85% sistemi di pagamento digitali più in generale.

Il funzionamento del phishing: l’esempio tipico di una truffa

L’infografica phishing in questione illustra in modo esemplare anche la modalità tipica di svolgimento di una truffa phishing.

Tutto inizia con una semplice email, inviata alla vittima da parte del cyber-criminale, quasi sempre attraverso un indirizzo email che sfrutta il nome di qualche società, ente pubblico o azienda famosa. Ad una prima vista poco accorta, potrebbe risultare un indirizzo email ufficiale, proveniente per davvero dall’ente/azienda/società il cui nome viene sfruttato dal criminale: in realtà si tratta sempre di indirizzi email che contengono errori ortografici, o comunque sono diversi dagli indirizzi ufficiali: insomma, sono fasulli.

La vittima riceve la mail in questione, e al suo interno molto probabilmente troverà il logo (falso) dell’azienda o ente (magari la propria banca, oppure un ente pubblico italiano), oltre ad un testo che invita a fare qualcosa di urgente. Spesso viene richiesto alla vittima di aprire un link esterno, e compilare un form con tutti i propri dati per risolvere un generico pagamento arretrato, per sbloccare un famigerato pacco rimasto fermo al centro postale o alla dogana e cose simili. In molti casi la vittima, come evidenziato nell’infografica, viene reindirizzata in un sito esterno che ricalca in tutto e per tutto il proprio portale bancario: la vittima, così, crede di essere entrata nel sito ufficiale della propria banca, ma in realtà si tratta di un portale fasullo, una trappola.

Accedendo a tale link esterno e inserendo tutti i propri dati sensibili, la vittima di fatto sta cedendo nelle mani dei criminali tutto il necessario per accedere a conti bancari, metodi di pagamento digitali, account su grandi siti Web e così via. In altre parole, la vittima ha abboccato all’amo lanciato dal truffatore.

Come difendersi dalle truffe phishing

A fronte di quanto appena detto, difendersi dalle truffe phishing in realtà non è complicato. L’infografica phishing illustra chiaramente alcuni dettagli da osservare in maniera attenta, quando si riceve una mail:

–        Riconoscere la mail ingannevole. Per riconoscere una mail ingannevole, bisogna guardare ad alcuni dettagli: in primis non è personalizzata sul nome dell’utente (dunque vi si troverà scritto qualcosa come “Gentile utente…” o simili). Il mittente ha un nome conosciuto, include nell’indirizzo email il nome di un famoso istituto bancario, di una società oppure un ente pubblico. La mail è tutta impostata su toni urgenti: richiede all’utente di svolgere con urgenza una certa azione, ed è quasi sempre presente un allegato (un file compresso .zip o altro) oppure un link esterno. Altro dettaglio spesso presente è la grammatica del testo della mail, pieno di imprecisioni ed errori strani, così come la presenza di una scadenza molto breve (“dovrai effettuare tale pagamento entro 14 giorni, altrimenti…”). In tutti questi casi, cestinate immediatamente la mail.

–        Girare al largo dai link esterni. Qualora doveste ricevere una mail di questo tipo, ma per sbaglio avete già aperto il link esterno incluso nel corpo della mail, siete ancora in tempo per riconoscere la non ufficialità del sito. Di solito, l’URL presenta un protocollo http:// anziché https://, che è il più sicuro. In linea di massima, se non vi fidate di un URL, aprite in una nuova pagina il corrispondente sito ufficiale (ad esempio Amazon, oppure Unicredit) e confrontate i due link: vi accorgerete che il sito fasullo presenta un URL diverso.

–        Link o allegati: non fidatevi mai! In generale, dunque, se ricevete una mail che vi invita a seguire un link esterno, o ad aprire urgentemente un file allegato, cancellatela subito. Chiamate subito il vostro istituto bancario, oppure il numero verde della società il cui nome figura nella mail fasulla, e chiedete delucidazioni.

E se si cade nella truffa?

Qualora, per sbaglio o per inesperienza, doveste incappare nella truffa, l’infografica phishing spiega di chiamare immediatamente la linea diretta del vostro istituto bancario e bloccare il conto, per impedire ai truffatori di agire ulteriormente. Ci si può tutelare in modo più avanzato affidandosi ad avvocati specializzati in materia di frodi online; infine, è sempre indispensabile interloquire con l’istituto bancario, o la società per cui si spacciava il truffatore, dell’avvenuta tentata truffa: prenderanno provvedimenti adeguati.