Phishing: che cos'è, come difendersi?

Phishing: che cos'è, come difendersi?

Il phishing è un tipo di truffa informatica con cui un hacker tenta di ingannare gli utenti per farsi fornire dati sensibili allo scopo di ricavarne un vantaggio. I dati possono variare dai semplici username e password per accedere a un social, alle credenziali di accesso al conto corrente bancario. Si tratta di un fenomeno in costante aumento, come evidenziato dai grafici di segnalazioni di phishing annuali. Va quindi preso seriamente in considerazione, per evitare di caderne vittima o esporre pubblicamente i propri dati personali. In questo post analizzeremo quali sono le principali tipologie di phishing e come ci si può difendere in modo efficace.

Tipologie di phishing

Non esiste un solo tipo di phishing, ma varie casistiche differenziate per obiettivo e modalità di attacco.

Email phishing

Il tipo più comune è l'email phishing. I malintenzionati inviano alle vittime email con le quali invitano i destinatari ad effettuare il login su siti fasulli molto simili a quelli autentici. Un tipico esempio sono le email ricevute da siti simili a PayPal o al proprio istituto bancario. Le scuse utilizzate variano dall'impossibilità di effettuare una transazione alla contestazione di una fattura. Generalmente queste email contengono link a siti creati ad hoc dagli hacker con un modulo per inserire i propri dati di accesso. I dati vengono poi inviati ai malintenzionati, che possono utilizzarli per ricavarne profitto. Questo tipo di attacco viene condotto in modo indiscriminato sugli utenti, inviando email ad indirizzi casuali senza un obiettivo specifico.

Spear phishing

In alcuni casi, le email vengono inviate solo ad alcuni utenti specifici, come persone di spicco della politica o manager di importanti società. Un esempio è l'attacco effettuato ai danni del Democratic National Committee durante le elezioni presideziali americane del 2016. Lo scopo era ottenere dati sensibili come il nome, l'indirizzo email, la posizione lavorativa dei membri del comitato elettorale. Alle vittime che avevano cliccato sui link contenuti nelle email veniva poi inviata una seconda email più mirata, per ottenere la password di accesso a informazioni confidenziali.

Social networks

Una forma di attacco relativamente recente è quella che riguarda i social networks, come Facebook o Instagram. Le vittime ricevono una email in cui si afferma che sono state citate in un post o in cui le si invita a effettuare il login sul social. Cliccando sul bottone, viene installato sul loro PC un software malevolo attraverso il quale gli hacker riescono poi a catturare username e password di accesso al social. Grazie alle credenziali, i malintenzionati possono collezionare dati personali e monitorare le abitudini degli utenti.

Come difendersi

Le tecniche di phishing stanno diventando sempre più accurate. Esistono tuttavia una serie di accorgimenti che ci possono consentire di difenderci dagli attacchi in modo efficace.

Mittenti sospetti

La prima difesa dal phishing entra in azione ancora prima di aprire le email. Spesso gli hacker si nascondono dietro nomi di banche o società famose, quindi ignorate il nome visualizzato come mittente e concentratevi sull'indirizzo. I client di posta elettronica (Outlook o webmail) mostrano infatti a fianco al nome del mittente anche l'indirizzo email. Se l'indirizzo email non corrisponde a quello ufficiale della banca o della società, quasi sicuramente si tratta di una email di phishing, che può essere cestinata.

Riconoscere i link fasulli

Un'altra tecnica tanto semplice quanto efficace è quella di controllare il link dei bottoni contenuti nelle email. Passate il mouse sopra il bottone o il link contenuto nel testo della email, senza cliccarlo. Nella parte inferiore sinistra del browser vi apparirà il l'URL di destinazione. Come nel caso del mittente, se non si tratta del sito ufficiale della società o dell'istituto bancario, cestinate pure senza problemi. Giusto per fare un esempio, tutte le email provenienti da PayPal hanno link che terminano con paypal.it. Tutti gli altri link, come payal.nomesito.it sono fasulli, quindi non fidatevi.

Non aprire gli allegati

Spesso le email di phishing contengono allegati. Il testo della email invita le vittime ad aprire i files, mascherati come fatture o documenti informativi della banca. In realtà si tratta di software malevoli, che si installano in modo silente sul PC e restano in attesa che l'utente effettui il login su un portale come Paypal o l'istituto bancario. A questo punto, inviano le credenziali agli hacker che poi possono utilizzarle senza che la vittima si accorga di nulla. Fortunatamente, quasi tutti gli antivirus in circolazione impediscono l'installazione di questi software, ma la prevenzione resta sempre la prima regola.

Protezione di Chrome

Anche i browser oggi ci aiutano a difenderci dalle truffe. Come evidenziato dalla presentazione delle caratteristiche di sicurezza di Chrome, il browser più popolare al mondo già dal 2019 ha introdotto sistemi real-time automatici per analizzare le pagine web visitate. Nel caso in cui una pagina contenga link sospetti o software malevoli, viene mostrato un avviso agli utenti che consiglia di abbandonare il sito e la pagina viene oscurata. Questo rappresenta un enorme vantaggio di sicurezza per i navigatori, che anche in caso di click accidentale sui link o i bottoni contenuti nelle email sono protetti contro le truffe.

Conclusioni

Il phishing è una tecnica di attacco sempre più diffusa e sofisticata, attraverso la quale molti utenti inviano in modo inconsapevole i propri dati a malintenzionati. Fortunatamente esistono vari software (browser, antivirus) che consentono di difenderci in modo automatico, ma l'attenzione prima di cliccare i link nelle email resta ancora la miglior tecnica di prevenzione.