Occhio al phishing: 5 consigli per non cadere nella truffa

Il phishing è una tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username, password, codici bancari, numeri di conto corrente – allo scopo di compiere frodi ai danni dei malcapitati.

La truffa può avvenire in molti modi, ad esempio mediante messaggi nelle chat dei social network, e negli ultimi tempi si sono di nuovo intensificati i tentativi via email. Queste comunicazioni sono solite raffigurare loghi o intestazioni istituzionali e in ogni caso autorevoli. Gli autori del phishing possono spacciarsi per l’Agenzia delle entrate, per la Rai, per istituti di credito e così via.

Le comunicazioni truffaldine invitano il malcapitato a cliccare su un link o compilare form per sbrigare pratiche dal carattere urgente come ottenere un rimborso, accettare cambiamenti contrattuali, fornire consensi.

Se degli sconosciuti – specie in epoca di Gdpr – entrano in possesso di informazioni delicate, riservate e personali, il danno – economico o non, immediato o nel medio termine – per il malcapitato può essere enorme. Specie se si tratta di dati afferenti a una realtà imprenditoriale. I quali, quindi, potrebbero coinvolgere molte altre persone e non solo il mero destinatario della email-truffa.

Conflavoro Pmi raccomanda ai propri associati e ai cittadini tutti di non farsi ingannare da email del genere e consiglia di contattare immediatamente i canali ufficiali del presunto mittente e di chiedere chiarimenti. Solitamente, peraltro, questi importanti enti non comunicano via email con gli utenti a meno che non sia, in determinati casi, l’utente stesso ad averlo richiesto. Importante anche denunciare il fatto alle autorità competenti, se si tratta in effetti di phishing.

 

1. Fidarsi è bene, ma… Evitiamo di dare a cuor leggero le nostre informazioni personali attraverso qualsivoglia canale. Enti autorevoli o istituzionali come banche, Poste, Agenzia delle entrate solitamente non richiedono dati personali attraverso email, sms, chat. Se riceviamo comunicazioni del genere, specie se con allegati da aprire o link da cliccare, è meglio non fare nulla e contattare direttamente il mittente (banche, Poste o Agenzia delle entrate, per continuare con gli stessi esempi), così da chiarire in pochi secondi se si tratti o meno di phishing.

2. Le parole sono importanti. Nelle ultime settimane a moltissime persone sono arrivate email dell’Agenzia delle entrate, con tanto di grafica accurata e in italiano corretto. Solo che si trattava di phishing, come precisato dallo stesso Fisco, e non di email ufficiali. Ma sono, effettivamente, casi isolati. D solio non vi è molta qualità nei tentativi di phishing. Spesso le comunicazioni fraudolente contengono errori grossolani poiché scritte in automatico da appositi programmi di traduzione senza troppe pretese.

Del resto il senso del phishing è di ‘pescare’, far ‘abboccare all’amo’ qualche malcapitato confidando nella legge dei grandi numeri: non tutti cadranno nel tranello, ma più tentativi vengono fatti, maggiore sarà la possibilità di riuscire nell’inganno. Quindi i truffatori non badano troppo alla forma delle loro comunicazioni.

3. Filtri anti-phishing e antivirus aggiornati. Una protezione standard dallo spam e dal phishing è già implementata, oggi, dai gestori di posta elettronica nei propri servizi. Non guasta, però, proteggere ulteriormente i propri dispositivi con un programma antivirus regolarmente aggiornato e impostato. Spesso, infatti, la sottrazione dei dati personali avviene senza che si possa lontanamente immaginare a causa dell’introduzione nel nostro device di malware appositi.

4. Cambiare spesso password. E’ fondamentale, phishing o non phishing, cambiare spesso le password che utilizziamo online. Bene, poi, che siano alfanumeriche, con simboli e uniche, ciò non dobbiamo utilizzare la stessa password per più di un servizio o sito. Altro punto importante? Scegliere una password che non sia riconducibile direttamente a noi stessi. Quindi nessun nome personale, come del figlio o dell’animale domestico, così come nessuna data di nascita o di ricorrenze particolari che possono essere facilmente individuate, quali compleanni e matrimoni. Questo vale anche per i siti di e-commerce e per gli acquisti online in generale, per i quali è meglio utilizzare carte prepagate non collegate direttamente al conto bancario.

5. Occhi agli indirizzi Internet. Esistono numerosi siti con nomi molto simili a quelli di siti noti (per esempio: facebok.com – con una O sola). Siccome possono anche essere veicolo di phishing, la cosa migliore è digitare una volta l’indirizzo della vostra banca, facendo attenzione a scriverlo correttamente, e poi salvarlo tra i preferiti del browser per il futuro. La parte dell’indirizzo che identifica il proprietario del sito è quella subito prima del .com (o .it, .org e così via).

Per esempio, come ricorda il garante della privacy, www.intesasanpaolo.com è un sito di proprietà di Intesa Sanpaolo, mentre l’eventuale www.intesasanpaolo.abc123.com apparterrebbe al proprietario del sito abc123. Il quale, appare chiaro, potrebbe non avere nulla a che fare con il gruppo bancario. Detto ciò, occorre sempre utilizzare il buon senso. Difatti esistono metodi per ‘camuffare’ gli indirizzi Web: il nome potrebbe sembrare quello ufficiale/istituzionale, ma in realtà non lo è. Se si porta il mouse sul link, senza cliccarci sopra, viene mostrato l’effettivo indirizzo a cui si viene rimandati.