La digital transformation è ormai una realtà che va via via consolidandosi sempre più, ma per chi si approccia per la prima volta alle tecnologie le insidie possono essere numerose. Tra le minacce alla sicurezza informatica più subdole c’è il cosiddetto phishing, un tipo di truffa veicolata tramite Internet piuttosto diffusa, in cui si cerca di ingannare la vittima al fine di recuperare informazioni sensibili come username, password o dati bancari.
Il fenomeno del phishing è una minaccia attuale e frequente: l’Italia, secondo una recente ricerca di Kaspersky Lab, è il quarto target mondiale di attacchi con il 5,76% di segnalazioni. Inoltre, secondo il report 2019 di Clusit, l’associazione italiana per la sicurezza informatica, il phishing online non si è mai evoluto così velocemente come nell’ultimo anno, tanto che nell’arco del biennio 2017-2018 il numero di attacchi gravi è cresciuto in Italia del +37,7%.
Adottando le giuste contromisure, la percentuale di attacchi intercettati, bloccati e non andati a buon fine può arrivare a superare l’80%. Sul restante 20% è necessaria una consapevole collaborazione fra i fornitori di servizi e i clienti. Ecco perché Nicola Tacconi, CISO di Aruba S.p.A., ha realizzato un’utile guida in cui spiega come difendersi dal phishing e a non cadere vittime degli attacchi, nonché su come agire nel caso si cada nel tranello, per limitare i danni.
=> Phishing, basta poco per cascarci
Phishing: cosa è
Il phishing è una tecnica usata dai cyber criminali che prevede l’invio di false comunicazioni al soggetto-vittima da parte di un Ente o un’azienda ben conosciuti, di cui egli si fida, o con cui è possibile che si stiano avendo conversazioni e relazioni. Solitamente vengono citate scuse plausibili che inducano la vittima ad inserire propri dati personali. Solitamente il phishing si presenta come una comunicazione digitale che giunge al destinatario via e-mail, via SMS, tramite un social network o sulle principali piattaforme di Instant Messaging.
Phishing: come riconoscerlo
Per riconoscere un potenziale attacco di tipo phishing è utile sapere che generalmente questi messaggi sono accomunati da una o più delle seguenti caratteristiche:
- comunicazione di una sospensione o blocco di un account senza alcuna spiegazione;
- sollecito di pagamento legato ad una determinata operazione entro una data di scadenza fittizia;
- presenza di un indirizzo web che include un dominio simile ma diverso da quello originale dell’ente;
- richiesta di informazioni private;
- errori ortografici nel corpo del messaggio.
=> Difendersi dal phishing
Phishing: come difendersi
Tra gli accorgimenti che consentono di navigare più sicuri e non cadere vittime dell’attacco, Aruba consiglia di:
- mantenere il proprio browser sempre aggiornato. Installando le ultime versioni e inserendo dei filtri anti- spam, o degli appositi plug-in, il browser riuscirà a prevenire un maggior numero di tentativi di phishing;
- controllare il dominio da cui proviene la comunicazione. Una società o un ente scriveranno sempre dal proprio dominio, bisogna controllare che corrisponda a quello ufficiale. Questa verifica non dà la massima garanzia di autenticità ma rappresenta un primo controllo da poter effettuare;
- fare attenzione a cliccare sui link nelle e-mail. Come buona norma si consiglia di non cliccare mai sui link contenuti nella comunicazione ma digitare direttamente nel browser l’indirizzo del sito ufficiale del mittente della comunicazione e verificare sul sito il contenuto descritto nella comunicazione dell’e-mail;
- utilizzare più indirizzi e-mail. Quando ci si iscrive a servizi, o siti web, di dubbia affidabilità, è preferibile utilizzare e-mail secondarie, in modo da non rischiare di contaminare la propria casella e-mail principale;
- contattare il servizio clienti. Se arriva una e-mail ambigua e non si capisce con certezza se sia una frode o meno, è meglio contattare il servizio clienti dell’azienda a cui la mail fa riferimento;
- segnalare un sito di phishing aiutando altri utenti a non cadere nella truffa. Ogni segnalazione è utile per far comparire un messaggio di avviso riguardo al sito potenzialmente pericoloso: le segnalazioni possono essere inviate, ad esempio, tramite PhishTank, Google Safe Browsing o Microsoft Smart Screen;
- utilizzare e-mail professionali, dotate di protocolli di sicurezza quali SPF e DMARC sulla posta in ingresso (e in uscita).
Phishing: come limitare i danni
Per limitarne i danni, qualora si sia commesso l’errore di cadere nel tranello del phishing, può risultare utile:
- cambiare la password, nel caso di portali online, o chiudere direttamente il profilo prima che gli hacker possano accedervi;
- contattare il servizio clienti. Qualora l’account sia già stato compromesso e non sia più possibile fare il login con i propri dati, è necessario contattare il servizio clienti per ripristinare manualmente i propri dati d’accesso;
- contattare la banca. In caso di furto di dati bancari va contattato l’istituto di credito per bloccare i servizi coinvolti nella truffa (carte di credito, conti correnti, bancomat ed ulteriori);
- avvisare gli enti colpiti. Oltre al recupero dei dati personali, è opportuno segnalare l’attacco phishing agli enti che ne sono stati colpiti, cosicché possano prendere provvedimenti e contrastare la truffa;
- informare le autorità competenti. Il phishing, anche se può sembrare una semplice e-mail ingannevole, è un reato vero e proprio, e come tale va considerato. Nonostante non sia previsto dall’ordinamento penale, il phishing oggi viene giudicato come frode informatica e furto d’identità digitale. In quanto reato informatico, inoltre, va comunicato alla Polizia Postale, che sul suo sito ha disposto uno spazio per le segnalazioni di questo tipo.