Uno dei pericoli nascosti nella navigazione e soprattutto nelle mail è il phishing: il tentativo di carpire la buona fede del navigante per sottrarre informazioni utili, soprattutto credenziali di accesso (username e password).
Comportamenti a rischio
Le operazioni di phishing possono avere origine in diversi modi, per esempio:
- cliccando su un link presente in una mail (spesso si tratta di mail spam, non autentiche)
- cliccando su un banner pubblicitario presente su una pagina web (o in una mail)
- navigando su pagine che contengono materiale di dubbia provenienza (o illegale)
Come riconoscere il phishing
Quasi sempre il phishing fa leva su notizie di problemi imminenti, come il (presunto) blocco di un account (mail o peggio bancario), la conferma di una password o di altre informazioni importanti e sensibili. Altrettanto spesso, il phishing ama mascherarsi dietro pagine (o mail) che hanno un aspetto molto simile agli originali per cui si spacciano, o sembrano provenire proprio da quelle sorgenti. Esempio: Una mail che sembra provenire dalla Banca sollecita l'aggiornamento della password, oppure una mail che sembra provenire da un antivirus promette di controllare il livello di sicurezza di una password, oppure un (presunto) creditore che chiede di saldare fatture in sospeso, o qualche (falso) Ente fiscale che chiede il pagamento di multe o ammende, infine qualche (falsa) vincita di un premio che chiede le coordinate bancarie per l'accredito. Non citiamo, perché dovrebbero essere ormai note, le mail di qualche (falso) riccone del Terzo Mondo che ha bisogno di passare dal nostro conto corrente per riscuotere ingenti somme di denaro.
In pratica, i tentativi di phishing richiedono una o più delle seguenti informazioni:
- username e password o altre credenziali di accesso
- codice fiscale
- coordinate bancarie (compresi i codici di accesso)
- PIN (di bancomat o simili)
- numero di carta di credito
- informazioni personali: età, indirizzo, nomi dei famigliari, nomi degli animali (questi ultimi utilizzati per il recupero password)
- data di nascita, sesso, nazionalità
Precauzioni e avvertenze
Vale la pena di ricordare che nessun Ente legittimo (sia esso il fornitore servizi di mail, la banca, i vigili urbani, la polizia, la riscossione tributi) chiede mai queste informazioni via mail. In caso di dubbio, contattare il presunto mittente, ricavando le informazioni di contatto (numero di telefono, indirizzo) non dalla mail sospetta ma da elenchi pubblici (es: elenco telefonico) o siti ufficiali.
Non rispondere mai direttamente a mail sospette di phishing: l'indirizzo del mittente è di solito ben mascherato, e serve solo a confermare ai malintenzionati di aver raggiunto un fish, una potenziale vittima.
Catalogare queste mail come "spam" (ogni sistema di mail consente di farlo, e "impara" dall'esperienza utente): ciò renderà più difficile in futuro ricevere mail di questo tipo.
In caso di problemi
Se malauguratamente si è già caduti nella rete del phishing, si può:
- denunciare l'accaduto alla Polizia
- bloccare o allertare banca (o il fornitore di servizi) se si tratta di denaro (il servizio bancomat offre un numero verde per bloccare subito i prelievi, analogamente le carte di credito o prepagate)
- recuperare l'account colpito, cambiando le credenziali di accesso (password e altro, se necessario)
Riferimenti
- Google: Handcrafted Fraud and Extortion: Manual Account Hijacking in the Wild
- Google: Avoid and report phishing emails
