Phishing: come evitare il furto dei dati

gen 15, 2020.

Utilizzato spesso dalla criminalità informatica, il phishing è un metodo che sfrutta la buona fede e che può arrecare pesanti danni finanziari. Questo articolo vi fornisce suggerimenti per riconoscere gli attacchi di phishing, le modalità di protezione e i provvedimenti che si possono adottare se è stata aperta un’e-mail di phishing. Scoprirete anche una particolarità nazionale e chi, in Svizzera, si assume la responsabilità in caso di phishing.

 

Comunicazioni via e-mail, bonifici con l’online banking, iscrizione a vari shop online così come ai social network – cresce la quantità di dati personali che lasciamo su Internet. Con il metodo di furto denominato «phishing» i truffatori prendono di mira proprio queste informazioni riservate.

 

Definizione e funzionamento del phishing

Il phishing classico funziona tramite e-mail che vengono inviate da mittenti falsi. Le e-mail contengono link che hanno lo scopo di indirizzare i destinatari a siti web altrettanto contraffatti.

 

Sulla pagina «finta» di Internet i truffatori cercano di indurre la vittima a rivelare informazioni riservate come password, user name o dati di conto e carte di credito come PIN e TAN.

 

Anche gli SMS o i servizi di messaggistica istantanea, come WhatsApp o Skype, sono strumenti che i truffatori o i cosiddetti phisher utilizzano spesso e volentieri per diffondere link falsi. Questi impostori manipolano anche i codici QR allo scopo per esempio di attirare i consumatori sul sito web falso di un istituto finanziario.

 

Come riconoscere gli attacchi di phishing e proteggersi

«In linea di massima, occorre prestare attenzione alle e-mail che richiedono di compiere un’azione e che arrivano inaspettatamente. Per esempio se il mittente è un fornitore di servizi con cui finora non si è mai entrati in contatto», spiega Oliver Hirschi. Questo professore presso l'Istituto d'informatica della Scuola universitaria professionale di Lucerna dirige il progetto «eBanking – ma sicuro!», per il quale ha pubblicato in collaborazione con il suo team un test sul phishing ideato su misura della Svizzera.

 

Spesso le e-mail false traggono in inganno perché sembrano simili ai messaggi delle società di vendita per corrispondenza online come Amazon, oppure dei servizi di pagamento come PayPal. Tuttavia esistono segnali che smascherano un attacco di phishing.

 

Cosa fare se è stata aperta un’e-mail di phishing

Chi ha ricevuto un’e-mail di phishing può segnalarla all’indirizzo https://www.antiphishing.ch/it/, dove è attivo un portale della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI). In questo modo i siti web pericolosi potranno essere disattivati con la massima rapidità possibile.

 

Le vittime di un attacco di phishing dovrebbero sporgere immediatamente denuncia alla polizia. Se i truffatori sono venuti in possesso di informazioni altamente sensibili come PIN o password, è importante bloccare subito tutte le carte bancarie e di credito presso la banca e, da quel momento in poi, controllare con precisione gli estratti conto.

 

Oliver Hirschi aggiunge: «Inoltre, dal punto di vista tecnico è essenziale eseguire un controllo del computer e della protezione antivirus, quindi modificare tutte le password e le domande di sicurezza». Per proteggersi dal phishing, i consumatori dovrebbero anche utilizzare programmi di posta che non scaricano automaticamente contenuti da Internet quando un’e-mail è aperta.

 

Attacchi di phishing sempre più mirati

Se in passato i phisher inviavano la stessa e-mail per milioni di volte, oggi si danno spesso molto di più da fare. E non solo per creare una copia esatta del Corporate Design. «Al momento attuale stiamo assistendo a un’evoluzione verso il cosiddetto spear phishing», spiega l’informatico Hirschi. «Gli attacchi diventano sempre più mirati: gli autori riducono i loro gruppi target e strutturano le e-mail di phishing con un contenuto più dedicato. Spesso non conoscono solo il nome del destinatario, ma anche i suoi contatti privati e di lavoro, tanto che le e-mail sembrano arrivare da un mittente apparentemente noto».

 

Responsabilità e situazione in Svizzera

Come si affronta il tema della responsabilità in Svizzera? Per Oliver Hirschi esiste fondamentalmente una sola e semplicissima risposta giusta: «Dipende». Quasi tutti i fornitori di servizi online, così come le banche, si riservano la responsabilità nelle CG, pertanto si può sostanzialmente affermare che è il cliente a rispondere. Se si verifica un sinistro, spesso lo si considera come singolo caso e si analizza l’accaduto, poi si decide o si discute l’attribuzione della responsabilità. A maggior ragione, quindi, risulta opportuno proteggersi e tutelarsi con un’assicurazione cyber.

Oliver Hirschi segnala anche una particolarità a cui gli utenti svizzeri di Internet dovrebbero prestare attenzione: «In tutto il mondo i sistemi operativi Android e iOS sono diffusi nel rapporto 85-15 per cento. In Svizzera, dove invece sono molti i dispositivi con iOS, il rapporto si avvicina al fifty-fifty. Per gli ideatori delle truffe vale assolutamente la pena sviluppare programmi dannosi (p.es. trojan) specifici per iOS e installarli sui computer con un attacco di phishing». In conclusione, anche gli utenti di Apple sono esposti agli attacchi e dovrebbero considerare il rischio di phishing esattamente come chi si avvale di altri sistemi operativi.

 

 

Usando un po’ di prudenza e sapendo a cosa prestare attenzione, spesso si riescono a identificare le cosiddette «e-mail di phishing» dei criminali. La lista di controllo Phishing vi offre una panoramica dei punti fondamentali per proteggervi dagli attacchi.