Nella nostra rubrica abbiamo affrontato varie volte il tema della sicurezza informatica e del cybercrimine. Oggi continuiamo sul tema, parlando del cosiddetto “phishing” informatico. Il termine, che letteralmente significa “pescare”, rimanda al concetto di “provare a lanciare un amo” e vedere chi cade nel tranello. In questo contesto, lanciare l’amo significa, solitamente, inviare una e-mail a moltissimi indirizzi spacciandosi per qualcun altro: una azienda, la polizia, un ente pubblico, ecc. Il soggetto dell’e-mail ha spesso un tono allarmistico, come ad esempio “il tuo account facebook sta per essere bloccato”, oppure “abbiamo rilevato delle transazioni sospette con la tua carta di credito”, o ancora “la tua certificazione COVID è stata rubata”. Il contenuto dell’e-mail non è da meno, e porta gli utenti (soprattutto quelli inesperti) a preoccuparsi. Al di là del contenuto specifico del messaggio, la parte finale è sempre la stessa: invita chi riceve l’e-mail a cliccare su un link e fornire i propri dati (username, account, nome, cognome, carta di credito, …). Cliccando sul link, si apre un sito che appare (quasi) identico a quello che ci si aspetta di trovare (ad esempio, una “copia” fedele della pagina di autenticazione di Facebook, o del sito della carta di credito), oppure comunque dall’aspetto professionale (ad esempio, un sito che riporta il logo del ministero della salute). È qua che il malcapitato viene preso all’amo: una volta inseriti i dati sensibili richiesti, questi vengono in realtà rubati per poi essere utilizzati per attività illecite, come utilizzare i dati della carta di credito per effettuare transazioni o rubare l’identità dell’utente. Varianti del phishing sono oggi diffuse anche direttamente sui social network stessi, e non sono facilmente rilevabili dai software antivirus e antispam. Come difendersi quindi? Imparando a conoscere il fenomeno e a stare vigili. Innanzitutto controllando l’indirizzo e-mail di provenienza (non il nome che compare nei software per leggere l’e-mail, ma l’indirizzo vero e proprio). In secondo luogo: praticando lo stesso accorgimento sul nome del link che si viene invitati a seguire. Questi nomi richiamano di solito il tema della truffa (ad esempio, contengono “facebook”, oppure “ministero-della-salute”) ma contengono anche parti sospette. In terzo luogo, e in senso molto generale: nessuna attività lecita chiede all’utente di inserire dati sensibili attraverso il click di un link da una e-mail. Per verificare quindi se c’è davvero un problema, invece di cliccare sul link basta andare autonomamente sul sito in oggetto (utilizzando quindi l’indirizzo web ufficiale). Insomma: i piccoli accorgimenti umani fanno la differenza.
Autore: Marco Montali