Messaggi phishing: come identificarli e come difendersi
Negli ultimi anni, insieme alle tecnologie informatiche, hanno compiuto un grande passo in avanti anche le tecniche utilizzate dagli hackers per estorce ad ignari utenti informazioni personali e dati sensibili di natura giudiziaria, finanziaria, ecc. Quello del phishing è un fenomeno sempre più diffuso, che però ancora in tanti fanno fatica a riconoscere e ad evitare. L'obiettivo di questo post è quello di offrire un approfondimento sul tema insieme ad esempi di phishing.
Cos'è il phishing
Il Phishing (termine inglese che deriva da fishing, ovvero “pescare”) è una truffa perpetrata da cybercriminali (altrimenti detti phisher) ai danni degli internauti e finalizzata al furto di informazioni e dati sensibili. In pratica attraverso messaggi di phishig riescono ad impadronirsi di informazioni riservate, dati finanziari, credenziali di accesso e via discorrendo.
Se l’utente “abbocca all’amo” (tra poco ti diremo quali sono le esche preferite dai phisher) purtroppo non potrà sperare in nulla di buono: utilizzo indebito della carta di credito o del conto corrente online, attivazione di servizi/abbonamenti non richiesti e così via
Certo: prima si denuncia l’accaduto, maggiori sono le possibilità di evitare serie conseguenze, tuttavia scriviamo questo articolo per aiutarti a prevenire ogni tentativo di frode, riconoscendo le email o gli SMS truffa non appena queste giungono al destinatario.
Phishing: come funziona il tentativo di frode
Il phishing è un reato abbastanza recente, messo a punto dagli hackers, che nell’ultimo decennio - grazie all'utilizzo esponenziale dei social network, della posta elettronica e più in generale della comunicazione in formato elettronico - hanno pensato bene di specializzarsi in social engineering, ovvero nell’ingegneria sociale delle frodi commesse in rete. Per dirla in parole povere, invece che progettare malware e virus, i malviventi informatici hanno capito che è molto più fruttuoso “lavorare” sulla psicologia delle persone, sulle pratiche che esse sono solite svolgere e sulle abitudini oramai consolidate nell’uso della rete, come ad esempio inserire username e password, digitare il numero della propria carta di credito o le credenziali d’accesso del proprio account di home banking.
In pratica studiare ingegneria sociale significa imparare a mentire, imparare ad ingannare gli altri. L'obiettivo è entrare in contatto con la vittima con una diversa identità e agire sulla psicologia di quest'ultimo con l'unico fine di carpire informazioni preziose. Le tecniche per così dire "psicologiche" sono tante:
- far leva sull'ignoranza del malcapitato che trovandosi spiazzato dal contenuto del messaggio, non avverte la reale pericolosità del messaggio e finisce proprio per compiere quelle azioni che gli vengono suggerite dal phisher;
- far leva sul panico (ad esempio è stato riscontrato un potente virus nel pc in grado resettare l'hard disk nell'arco dei prossimi 60 minuti), così da spingere il destinatario della mail a compiere un'azione che in altre circostanze non avrebbe mai immaginato di fare;
- agire sul sentimento di colpa dell'utente, ma nel contempo offrendo una soluzione in grado di porre un rimedio ad una situazione. Ad esempio il versamento di una somma a forfait per i download illeciti di musica e film effettuati nell'ultimo periodo. In realtà la pagina allestita per il pagamento ha come unico fine quello di carpire i dati della carta di credito;
- far leva sull'avidità, ad esempio segnalando un prodotto ad prezzo particolarmente vantaggioso ma in offerta limitata così da spingere l'utente a fare di tutto pur di accaparrarselo. In realtà cliccando sul link si attiva un malware in grado di carpire tutti i dati personali del malcapitato;
- far leva sui buoni sentimenti, ad esempio spingendo emotivamente una persona ad effettuare una donazione in favore di un bambino che deve subire un delicato trapianto di organi;
- far leva sul desiderio: la Polizia Postale ad esempio ha pubblicato recentemente un avviso sul proprio sito con cui segnalava l'invio massiccio di e-mail su presunti concorsi per vincere una fornitura per un anno di prodotti di Giovanni Rana. Chiaramente si trattava di un messaggio ingannevole.
Altre volte, invece, si agisce sulla curiosità, sulla fiducia o sul sentimento di gratitudine di una persona. Ma il fine è sempre lo stesso: entrare in possesso dei dati personali dell'utente.
Esempi di phishing: i più comuni
Lascia che ti spieghiamo, con un solo ed unico esempio, come funziona il phishing bancario. Chi possiede un conto corrente quasi sicuramente è iscritto alla newsletter della banca, o ne riceve periodicamente messaggi e avvisi. Ecco, i phisher si nascondono dietro messaggi di posta elettronica il cui mittente sembra proprio essere l’istituto di credito. A quel punto l’ignaro utente apre il messaggio di posta, e con sua sorpresa viene a conoscenza che, a causa di un aggiornamento periodico del sistema di sicurezza, deve riconfermare le sue credenziali di accesso al servizio di home banking.
Il messaggio si conclude con un termine perentorio: la verifica deve avvenire entro 24 ore altrimenti il sistema bloccherà l’accesso al conto; dunque l’utente si affretta a cliccare sul link (che sembra proprio essere quello della banca) e a confermare le credenziali. In questo modo i truffatori hanno ottenuto tutte le informazioni utili per entrare nel conto e utilizzare i risparmi senza alcuno scrupolo. Già, perché l’email della banca era un messaggio truffaldino, volto solo a spillare soldi in modo peraltro anche abbastanza facile.
Per evitare di “abboccare” all’amo dei malviventi, ti invitiamo a leggere quelle che sono le motivazioni più usate per i tentativi di truffa (phishing) informatica scaricando i messaggi di phishing contenuti in questa scheda.
Le email-truffa possono richiedere le credenziali ad esempio per:
- rinnovo e conferma delle condizioni contrattuali;
- rinnovo o sostituzione della carta prepagata, carta di credito o di debito;
- scadenza della password in uso;
- problemi relativi all’accredito, addebito o trasferimento di denaro (anche su servizi tipo Paypal);
- ecc.
Ma la truffa può perpetrarsi anche attraverso un SMS ("SIM Swap"). Il truffatore invia un SMS al cliente utilizzando il nome della banca. Il cliente riceve l'SMS dal mittente “GruppoISP” (apparentemente autentico), attraverso il quale viene informato che sono stati rilevati dei movimenti anomali o sospetti sul conto corrente dell’interessato, per cui si invita l'utente a cliccare il link contenuto nel messaggio. Anche in questo caso il link rimanda ad un sito fasullo in cui è richiesto al cliente di inserire le proprie credenziali di accesso (codice utente e PIN) e il numero di cellulare certificato.
Sono tanti i casi in cui la truffa viene condotta anche attraverso il telefono. Così i truffatori, camuffando il proprio numero con quello del numero verde della banca, chiamano le vittime della truffa. Anche in questo caso le varianti sono tante. Ad esempio può essere richiesto al cliente di aggiornare la app di internet banking per questioni di sicurezza. A tal fine il cliente viene invitato a scaricare la nuova versione attraverso un link inviato via SMS o e-mail. Cliccando su questo link l'utente non fa altro che scaricare un “financial malware” o un “trojan banking” presente nella app. A questo punto il rischio che il criminale possa intercettare gli SMS che arrivano sul dispositivo del cliente è elevatissimo.
Naturalmente il phishing non poteva non interessare la app di messaggistica istantanea più famosa al mondo: Whatsapp: un buono sconto da utilizzare in un centro commerciale, l'avviso secondo cui WhatsApp nei prossimi mesi diventerà a pagamento, l'invito a sottoscrivere/rinnovare un abbonamento particolarmente vantaggioso e così via.
Phishing e fisco
Sembra incredibile ma il phishing può toccare anche temi che riguardano il fisco. Tempo fa una comunicazione dell'Agenzia delle Entrate informava i propri contribuenti della circolazione di email di phishing solo apparentemente trasmesse dai propri uffici. Nella mail, in pratica, veniva segnalato un debito col fisco e comunicato che, in caso di mancata estinzione, si sarebbe provveduto ad un prelievo forzoso sul conto corrente. Chiaramente nel comunicato l’Agenzia delle Entrate, sottolineando ogni estraneità all’episodio, invitava l’utenza a non tenere conto delle richieste e a cestinare l’email ricevuta.
In altri casi, invece, il tentativo di truffa ha fatto leva sulla possibilità di beneficiari di rimborsi fiscali: sarebbe stato sufficiente compilare un form e in breve tempo si sarebbe ricevuta la somma. Peccato che tra i dati da fornire c’erano anche gli estremi della carta di credito.
In passato anche l'Agenzia Entrate Riscossione (ex Equitalia) aveva pubblicato un avviso con cui metteva in guardia i contribuenti da e-mail truffa su fantomatici avvisi di pagamento. Anche in questo caso le mail invitavano a scaricare file o a utilizzare link esterni col solo fine di entrare illecitamente in possesso di informazioni riservate.
Altri esempi di phishing
Come hai avuto modo di intuire la fantasia dei cybercriminali è senza limiti e il phishing si è via via diffuso anche sui social network (Facebook eTwitter in primis), così come sui servizi di messaggistica istantanea come WhatsApp, Telegram e Messenger. E ad esserne coinvolti non sono solo la banca, le Poste, l’Agenzia delle Entrate o l'ex-Equitalia, ma anche realtà difficili solo da immaginare.
Il phishing ha riguardato, ad esempio, la RAI, con un sito web clone attraverso il quale era possibile regolare il pagamento del canone Rai. Il sito in questione era facilmente raggiungibile attraverso Google con chiavi “canone rai, esenzione canone rai”. Ciò ha spinto la Rai e la Polizia Postale a diramare prontamente un comunicato con cui invitare gli abbonati alla tv di stato ad utilizzare esclusivamente i siti ufficiali dell’Agenzia delle Entrate e del Servizio Abbonamenti Rai (www.canone.rai.it).
In passato sono state segnalati e-mail e messaggi, inviati anche tramite WhatsApp, provenienti apparentemente dal gruppo IKEA. Nel dettaglio venivano richiesti dati personali per partecipare all’attribuzione di buoni spesa per somme che variavano dai 150 ai 900 euro da spendere poi nei punti vendita della nota catena.
Invece un mittente che si è spacciato per SDA Espress /Gruppo Poste Italiane ha inviato mail aventi per oggetto l’avviso di giacenza di un pacco, con l’indicazione di una penale nel caso di eventuali ritardi nel ritiro. Naturalmente il messaggio conteneva un link su cui cliccare per avere maggiori informazioni. Anche in questo caso la Polizia Postale ha invitato a non cliccare sul link, anzi a cestinare l’email, e a procedere ad un costante aggiornamento del proprio antivirus.
Pensa che a volte i tentativi di frode sono indirizzati anche a chi cerca lavoro. In pratica attraverso e-mail truffa si acquisiscono dati e documenti sensibili come il documento d’identità, la tessera sanitaria o il certificato del casellario giudiziale del malcapitato.
Come difendersi dai messaggi di phishing
Come abbiamo scritto all’inizio dell’articolo, per evitare furti d’identità informatica e raggiri di ogni genere, anche quando si acquista online, è molto utile informarsi, leggere ed aggiornarsi costantemente, come purtroppo fanno anche i phisher. Ogni giorno si mette in atto una nuova strategia di truffa, ma ricorda: è altamente improbabile, per non dire impossibile, che - tanto per fare un esempio - la banca possa chiederti di aggiornare le credenziali online. Tutti i controlli, le nuove sottoscrizioni e gli aggiornamenti avvengono di persona, quindi al massimo l’istituto può telefonarti per chiedere un appuntamento, durante il quale svolgere le operazioni più delicate e riservate.
Ora veniamo al sodo: come evitare di essere vittime di phishing?
1 - Quando ricevi una qualsiasi email dalla banca o da una qualsiasi altra organizzazione, evita di cliccare sul link inserito nel messaggio, piuttosto collegati al sito ufficiale scrivendo l’indirizzo direttamente nella barra URL. Cerca per quanto possibile di servirti di siti che offrono protezione sicura e cifrata (i siti in https:// per intenderci);
2 - I testi di email phishing contengono spesso errori grammaticali e di traduzione, dunque è sufficiente un’attenta lettura del messaggio per rendersi facilmente conto che si tratta di una truffa;
3 - Confronta l’indirizzo email del messaggio sospetto con quello delle email precedentemente inviate dalla banca, oppure chiama la filiale più vicina (o il servizio clienti) per avere ulteriori conferme sulla legittimità della comunicazione;
4 - Se hai qualche dubbio sul contenuto del messaggio, non cliccare su alcun link prima di aver consultato un amico più ferrato di te in simili questioni oppure un esperto informatico;
5 - Evita di diffondere i tuoi dati personali sui social network e controlla in modo particolare le impostazioni della privacy di Facebook;
6 - Non scaricare mai eventuali allegati inseriti nella mail, piuttosto chiedi di poter visionare una copia cartacea della comunicazione o della documentazione bancaria andando a ritirarla in filiale oppure ricevendola tramite posta;
7 - Verifica spesso il saldo del tuo conto corrente, visionandolo dall’home banking, dalla App oppure direttamente dall’ATM. È altresì possibile attivare un servizio in più, il quale purtroppo non è a costo zero, ma potrebbe essere la chiave di volta per individuare prelievi anomali. Stiamo parlando del servizio SMS della banca, che ti avvisa ogni qual volta si effettuano operazioni sul tuo conto corrente;
8 - Se ricevi un messaggio sospetto, evidenzialo come spam spostandolo in una cartella diversa rispetto a quella della normale “Posta In Arrivo”. Questo ti terrà lontano da eventuali pericoli. Altre due piccole accortezze, da tenere sempre a mente riguardano il browser e l’antivirus: tienili sempre aggiornati, scarica estensioni per migliorarne la sicurezza e la resa, fai controlli periodici;
9 - non lasciare mai aperte troppe tab del tuo browser, in questo modo eviterai di restare vittima di una tecnica particolarmente insidiosa che prende il nome di "tabnabbing". Molti utenti sono soliti navigare su più siti contemporaneamente, a tal fine preferiscono lasciare più schede (tab) del browser aperte per una futura consultazione. In pratica ad ogni scheda o tab corrisponde un sito o una pagina. Ed è proprio nel momento in cui l'utente lascia aperto un tab per visitarne un altro, che interviene il malfattore per modificare il contenuto della pagina web in una interfaccia con login e password (ad es. del sito Poste italiane piuttosto che della nostra banca). Così nel momento in cui l'utente ritornerà in quel tab con tutta probabilità non si ricorderà più che quella pagina deriva da un link malevolo e potrebbe inconsapevolmente essere indotto ad inserire i propri dati;
10 - Se hai eseguito una procedura telematica sul sito della banca, ma ti accorgi che qualcosa non torna, non esitare ad informarla, segnalando eventuali malfunzionamenti o stranezze.
Cosa fare se si rimane vittima del phishing
Hai inserito i tuoi dati personali all’interno del sito web, cosa fare? Il consiglio in questo caso è di metterti subito in contatto con la banca, con la società che ha emesso la carta di credito o con l'amministratore del sito originale e spiegare l’accaduto. Quindi modifica la password che con tutta probabilità ti è stata carpita a tua insaputa e sporgi denuncia alla Polizia Postale.
Se in un momento successivo al blocco del conto o della carta di credito, hai riscontrato degli addebiti sospetti preparati a contestarli all’istituto bancario.
Puoi recarti in filiale di persona oppure formalizzare la contestazione attraverso una comunicazione scritta da trasmettere via PEC o raccomandata a.r. Dal nostro portale è possibile scaricare i seguenti modelli:
Dalla data di ricevimento della comunicazione, la banca ha 30 giorni di tempo per rispondere alla segnalazione. Se la risposta non arriva oppure se la posizione assunta dalla banca sulla questione non ti soddisfa, puoi rivolgerti all’Arbitro Bancario Finanziario.