Phishing

Il termine phishing è usato in campo informatico per riferirsi a un crimine che si realizza sostituendo l'identità di un utente. Attraverso un'azione fraudolenta, un criminale ottiene dati confidenziali che sfrutta a suo vantaggio.

Phishing può portare il criminale ad avere accesso a numeri di conti bancari o di carte di credito, per esempio. Con questi dati in loro possesso, sono in grado di rubare denaro dai conti o utilizzare queste somme per fare acquisti senza che il legittimo proprietario delle risorse se ne accorga.

Il phishing viene spesso effettuato tramite un'e-mail che sembra provenire da una fonte affidabile (una società, un ufficio governativo, un amico intimo della vittima, ecc), quando in realtà è un messaggio falso. Queste email spesso contengono un link a un sito dove il destinatario ingannato inserisce le sue informazioni personali e le fornisce inconsapevolmente al criminale.

Un'altra possibilità è che l'individuo arrivi a un sito fraudolento attraverso un altro percorso, come una comunicazione di messaggistica istantanea o anche un motore di ricerca. In superficie, il sito sembra appartenere a un'azienda o a un'agenzia governativa, ma non è altro che una copertura per rubare i dati.

Siccome il phishing viene solitamente effettuato utilizzando un nome di fiducia e persino un'immagine di fiducia (come un logo aziendale), oltre a mettere nel mittente i dettagli reali della persona che stanno impersonando (il nome di un dipendente o un indirizzo internet troppo simile all'originale, per esempio), è molto difficile rilevare questo tipo di attacchi a prima vista. Tuttavia, ci sono alcuni dettagli che li tradiscono nella maggior parte dei casi.

Per evitare il phishing, quindi, questi dettagli dovrebbero essere presi in considerazione ogni volta che si decide di leggere una mail o cliccare su un link. Il primo che possiamo menzionare è che le aziende non chiedono informazioni personali via e-mail, specialmente le banche o quelle entità dove sono in gioco i nostri soldi. Ecco perché non dovremmo mai rispondere a messaggi che non abbiamo specificamente richiesto o cliccare sui loro link.

In quali casi potremmo richiedere un messaggio con un link? Per esempio, quando vogliamo recuperare o cambiare la nostra password: di solito riceviamo un link che ci indirizza a un modulo dove possiamo inserire una nuova password. Qualcosa di simile accade quando ci registriamo su un sito che ci richiede di confermare il nostro indirizzo e-mail. Ma a parte queste due situazioni e alcune eccezionalmente simili, dovremmo diffidare di qualsiasi messaggio che ci costringe a interagire con i suoi elementi.

Un'altra pratica raccomandata per evitare il phishing è diffidare degli allegati che ci arrivano senza che li abbiamo chiesti o senza che il mittente ci abbia detto in anticipo che ce li avrebbe inviati. Se un collega ci dice che riceveremo un documento scannerizzato via e-mail più tardi nel corso della giornata, non dobbiamo essere sospettosi; ma se riceviamo spontaneamente un tale messaggio senza preavviso, la cosa migliore da fare è contattare il mittente e chiedergli di confermare che ce l'hanno davvero inviato. Naturalmente, non dovremmo usare la funzione "rispondi", ma comporre un nuovo messaggio separato, o usare un altro programma di messaggistica.

Chi è stato vittima di phishing sa che i criminali a volte cercano di fare appello alla nostra sensibilità usando storie strappalacrime o promettendo ricompense se seguiamo le loro istruzioni. Possono anche cercare di farci credere che la nostra sicurezza sia a rischio.