Pericoli del web: il Phishing

II phishing è uno stratagemma per indurre gli utenti a rivelare con l’inganno informazioni personali o finanziarie attraverso un’email o un sito Web, ma sempre più spesso anche tramite messaggi in arrivo da applicazioni molto usate come Whatsapp o Facebook.

Un tipico attacco di phishing inizia con un messaggio di posta elettronica, un link che compare dal nulla in Facebook, o un banner pubblicitario in qualche applicazione molto usata dagli utenti. Si presenta come una notifica ufficiale proveniente da una fonte attendibile, per esempio una banca, ma anche un amico. II messaggio invita a collegarsi a un sito Web graficamente molto simile a quello originale e a inserire alcune informazioni personali come, per esempio, il numero di conto corrente o la password. Queste informazioni vengono poi utilizzate per appropriarsi dell’identità di chi abbocca alla truffa.

Se lo conosci, lo eviti (forse)

Il phishing sembra non avere età: gli utenti continuano ad abboccare per la gioia del cyber-criminali. È vero che un buon antivirus aggiornato è in grado di bloccarli e indirizzare i messaggi “critici” verso la cartella di spam, ma fidarsi è bene non fidarsi è meglio: c’è sempre qualcosa che può sfuggire al controllo. Ecco perché, anche se protetti, è sempre consigliabile non abbassare mai la guardia. I messaggi contraffatti di solito ma non è la regola vengono solitamente inviati in blocco a diversi destinatari e non contengono il nome o cognome dei singoli utenti. Ed è già un buon indizio.

Sono, poi, sempre più in aumento, apposite finestre di phishing che si sovrappongono all’interfaccia di applicazioni legittime, soprattutto nel settore degli smartphone, o link provenienti dai social network.

Ecco come evitare eventuali truffe:

• Verificare il mittente dell’email

Lo abbiamo chiesto fra gli altri agli esperti di Ermes Cyber Security, startup dell’Incubatore I3P del Politecnico di Torino specializzata in sicurezza informatica. Al primo posto, è essenziale verificare attentamente il mittente dell’email, scoprendo nei dettagli del messaggio ricevuto quale sia l’indirizzo da cui proviene e se lo si ritenga affidabile. Questo controllo non è ovviamente infallibile. Hacker e malintenzionati riescono facilmente a mascherare il proprio indirizzo attraverso l’“email spoofing”, ovvero la pratica che consiste nell’impostare un indirizzo ufficiale come nome del mittente. Insomma, si potrebbe comunque finire per esserne ingannati.

• Occhio agli allegati

Secondo punto: non scaricare gli allegati di mail di cui non si è sicuri. Questo vale anche per semplici file come .pdf o .doc che possono essere veicolo di malware o di altri file eseguibili (.exe o simili) che possono installare virus o backdoor sui dispositivi. In quel caso si andrebbe ben oltre l’attacco in corso in queste ore, rendendo davvero possibile l’accesso alla macchina da parte dei cybercriminali.

• Attenzione alla url

Terzo elemento: fare attenzione all’url, cioè all’indirizzo effettivo del sito visualizzato nella stringa del browser. Nella maggior parte dei casi le email di phishing informatico invitano a cliccare su un link malevolo che riporta a un sito trappola, per far sì che il malcapitato utente rilasci dati e informazioni personali. Situazione più grave rispetto a quella attuale, che punta solo a gettare nel panico gli utenti, ma ben più frequente. Quel link malevolo potrebbe essere simile a uno credibile ma potrebbe per esempio presentare un’estensione di dominio diversa dal normale, qualche lettera di troppo nel nome, una connessione che viene mostrata come “non sicura” dal browser e in “http” invece che nel protocollo “https”, quello con il lucchetto. Vale anche la pena ricordare che alcune organizzazioni, come le banche, non ci scrivono via e-mail per chiederci di aggiornare qualsivoglia dato.

• Attenzione ai social

Oltre che tramite mail, spesso il phishing passa anche dai social network, con la violazione degli account che diventano a loro volta veicolo di infezione. Mai cliccare o rilanciare catene o link dubbi che arrivino nella messaggistica o in cui si venga taggati né fornire dati personali. Vale la pena anche fare un controllo accurato nella propria cerchia di contatti, non accettarne di nuovi senza che si abbia un qualche elemento di valutazione e magari contattare il mittente della catena per chiedergli qualche informazione in più.

• L’aspetto della mail, le segnalazioni ai provider e mantenere la calma

Anche l’aspetto dell’email ha un suo peso: fondamentale il modo in cui è scritto il testo. Spesso è un italiano scorretto che utilizza appellativi troppo generici, insomma il frutto di una traduzione meccanica spedita, come sta accadendo in queste ore, in massa. Sesto punto, rivolgersi ai provider di posta segnalando non solo le email di spam ma anche quelle di phishing, oltre che alla Polizia postale. Che fra l’altro ricorda come, settima regola, sia sempre essenziale mantenere la calma perché – al contrario di come invece può accadere sui social con le videochat – non c’è evidentemente alcun filmato che ci ritragga in atteggiamenti intimi e spesso pagare il riscatto, anche quando il cybercriminale disponga di contenuti compromettenti, determina come unico effetto un accanimento nelle richieste estorsive, con l’obiettivo di ottenere ulteriore denaro.

• Cambiare la password e non incrociarla in nessun caso

Ottavo e nono comandamento, ripetuto fino alla morte ma essenziale, è proteggere adeguatamente la nostra email (ed in generale gli account virtuali) cambiando la password, impostandone di complesse e dove possibile (con chiavette o codici inviati via sms) abilitare l’identificazione a due fattori. Altra attenzione: evitare di utilizzare la stessa password per più profili. Decima e ultima regola, specialmente per il mondo aziendale ma è proprio in ufficio che spesso accade l’irreparabile, proteggersi a monte con soluzioni informatiche automatizzate che filtrino alla base questo genere di spam.

Il phishing evolve

Il rapporto del Kaspersky Lab su Spam e Phishing relativo al terzo trimestre di quest’anno spiega come sta evolvendo la tecnica utilizzata da questi “pescatori di frodo”. I phisher cercano, da sempre, di raggirare gli utenti rendendo il link del tutto simile alla denominazione di un noto sito legittimo. Non è una novità. Ma se in precedenza adottavano, per raggiungere tale scopo, lievi e quasi impercettibili variazioni o alterazioni dei nomi reali, adesso vengono utilizzati, sempre più di frequente, sia sottodomini che imitano le effettive denominazioni, sia nomi di dominio particolarmente lunghi e complessi, magari intervallati da vari trattini.

Le tecniche, insomma, sono le più varie ma l’obiettivo resta lo stesso: indurre l’internauta all’errore e acquisire fraudolentemente i suoi dati sensibili. Necessario, quindi, tenere sempre gli occhi ben aperti ed esser pronti a reagire in tempi strettissimi: in caso di errore avremmo ben poco tempo per porre rimedio. Ecco qualche consiglio su come difendersi:

Il Phishing nel diritto penale:

La condotta del phisher integra, innanzitutto, il reato di trattamento illecito dei dati personali, di cui all’art. 167 del Codice della privacy, che punisce “chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali” con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, nonché l’illecito penale per violazione delle misure di sicurezza previsto per i titolari del trattamento dati ex art. 169 del Codice.