Scopriamo insieme alcuni casi reali per conoscerlo meglio e imparare a difenderci.
Da copie verosimili di siti di banche a offerte di lavoro fasulle, passando per fantomatiche eredità da riscuotere fino alle famose catene di messaggi su WhatsApp. Il phishing è una minaccia molto reale che può assumere diverse forme, mentre l’obiettivo è sempre lo stesso: i nostri dati e il nostro denaro.
Dopo una breve introduzione vedremo alcuni casi reali per capire esattamente cosa sia il phishing, a cosa dobbiamo stare attenti e, soprattutto, con quali strumenti possiamo difenderci.
Che cos’è il phishing?
Il termine phishing deriva dall’inglese fishing, pescare, e descrive alla perfezione l’obiettivo di questo tipo di truffe online: carpire i dati personali degli utenti che “abboccano” all’inganno.
Per continuare con il parallelismo con il mondo della pesca, ecco come avviene un attacco di phishing:
- Pastura: il pescatore – il criminale informatico – entra in possesso di una lista di indirizzi email in modo fraudolento e invia un messaggio ingannevole a tutti i contatti.
- Esca: il messaggio assomiglia sia nel contenuto che nell’aspetto grafico a quelli di un ente o azienda conosciuti, ad esempio una banca online, un social network o un’agenzia statale. Il messaggio descrive una presunta situazione in cui è necessario l’intervento da parte dell’utente in due possibili modi:a) Rispondere direttamente al messaggio e inviare determinate informazioni personali;b) Fare clic su un link che reindirizza a un sito falso, anche questo costruito in modo da essere quasi identico a quello originale. Sul sito, il cliente dovrà eseguire l’autenticazione, ovviamente fasulla, inserendo così le proprie credenziali, che anche in questo caso verranno registrate e utilizzate per rubare somme di denaro o realizzare operazioni finanziarie.
- Cattura: quando il pesce – l’utente – non riesce a distinguere il messaggio di phishing da quelli originali dell’ente in questione, abbocca e viene catturato. Di solito, il risultato è che l’utente invia o inserisce alcuni dati sensibili, o scarica un malware sul proprio dispositivo.
La similitudine tra gli utenti e i pesci è voluta e non ha un valore negativo. Al contrario, chi conosce un po’ l’arte della pesca sa quanto questi animali siano scaltri e quanto sia difficile raggirarli e farli abboccare. Eppure, proprio come i pescatori hanno perfezionato le proprie tecniche arrivando a produrre esche che assomigliano in tutto e per tutto agli insetti o pesciolini di cui si nutrono i predatori, così gli hacker hanno affinato le proprie capacità e sviluppato nuovi stratagemmi efficaci.
Dato che, proprio come nella pesca, la pratica è sempre più importante della teoria, andiamo a vedere 3 casi reali di phishing avvenuti in Italia durante gli ultimi anni.
1. Unicredit, Intesa SanPaolo e Poste Italiane
Da anni e in maniera intermittente, gli utenti di queste e altre banche online italiane sono presi di mira dai phisher. Esemplare il caso di Unicredit: gli utenti hanno ricevuto un’email che li avvisava di un accredito anonimo di circa 900 € a loro favore, bloccato a causa di un’incongruenza nei dati personali. Per questo si richiedeva di compilare un modulo molto simile a quelli di Unicredit con i propri dati e inviarlo per ricevere la somma di denaro.
Gli hacker che hanno preso di mira i clienti di BancoPosta e PostePay (i principali servizi finanziari di Poste Italiane) hanno scelto un modo ancora più elaborato per truffarli. Ecco il messaggio inviato a fine estate dell’anno scorso: “Dal 20 settembre 2017 non potrai utilizzare il tuo conto PostePay se non hai attivo il nuovo sistema di sicurezza web”. A questo punto al destinatario veniva chiesto di fare clic su un link che reindirizzava a una pagina web molto simile alla home di Poste Italiane, in cui l’utente doveva inserire le proprie credenziali per accedere al sistema.
Casi simili sono successi a Intesa SanPaolo e diversi altri istituti finanziari italiani con piattaforme online. Agli utenti caduti nella trappola, gli hacker hanno rubato ingenti somme di denaro se non tutto quanto, in base al momento in cui le vittime se ne sono rese conto e hanno bloccato il conto.
2.La Lazio vittima di phishing
Un tipo particolare di attacco phishing è il cosiddetto whaling, dall’inglese whale, balena, che prende di mira una sola persona, generalmente una figura di spicco di una certa azienda o del mondo della finanza e che in questo caso rappresenta il big fish da catturare.
Nel 2014 la Lazio ha acquistato il giocatore De Vrij dal Feyenoord, una squadra olandese. Alcuni giorni prima del pagamento dell’ultima rata milionaria, un manager della società romana ha ricevuto un’email che sembrava provenire dalla squadra olandese, in cui veniva fornito un nuovo codice IBAN da utilizzare per il trasferimento.
Ovviamente non si trattava di un nuovo conto del Feyenoord, ma di quello di alcuni abili hacker probabilmente vicini alla Lazio, a cui sono riusciti a rubare circa due milioni di euro.
3. WhatsApp a pagamento
Il terzo e ultimo caso che presentiamo è anche quello probabilmente più famoso, data la diffusione dell’app tra gli utenti italiani: il software di messaggistica WhatsApp. Di attacchi di phishing su WhatsApp ne sono stati fatti molti, ma il più esteso è stato probabilmente quello in cui gli utenti ricevevano questo messaggio: “Gentile utente, dalla prossima settimana ogni messaggio inviato su WhatsApp costerà 0,01€, per non pagare è necessario confermare il proprio account premendo su questo link”.
In questo caso, a differenza dei messaggi che abbiamo visto finora, chi faceva clic o toccava il link non veniva reindirizzato su un sito fasullo, ma scaricava direttamente un potente malware sul proprio smartphone, in grado di monitorarne le attività e i dati personali inseriti.
Come riconoscere il phishing
Come abbiamo visto, il phishing può assumere diverse forme, ma tutti i cyberattacchi hanno in comune alcune caratteristiche da tenere presenti per difendersi e non cadere nella trappola:
- Banche e aziende famose nel mirino: i phisher prendono di mira gli utenti di banche o servizi online molto diffusi, come WhatsApp o Netflix. Attenzione ai messaggi che ricevi da queste aziende.
- Indirizzo email e URL del sito web sospetti: quando ricevi un messaggio sospetto, controlla il dominio dell’indirizzo email del mittente (quello dopo il simbolo @, come @yahoo.it) e l’URL del sito web a cui reindirizza il messaggio. Quelli falsi provengono da domini generali, come Gmail, o da altri simili a quelli originali, ad esempio www.latuabancaonline.net.
- Errori nel testo: molti phisher attivi in Italia non sono italiani, per cui il testo del messaggio contiene spesso errori ortografici, come preposizioni o articoli sbagliati, dovuti alla traduzione del messaggio originale dalla lingua dell’hacker.
- Richieste di informazioni personali: le banche e i servizi online che utilizzi hanno già i nostri dati e non possono perderli. Al massimo siamo noi che dimentichiamo una password o il PIN della carta di credito. Diffida sempre dei messaggi in cui ti vengono richiesti dati personali.
- Avvisi di situazioni particolari: vincite di concorsi, offerte di lavoro, accrediti, problemi tecnici o di sicurezza dell’account come la scadenza di una password. Fai molta attenzione ai messaggi con questo tipo di contenuto.
- Link, inviti all’azione e download di allegati o applicazioni: gli attacchi di phishing vanno a segno solo quando l’utente compie attivamente un’azione pericolosa. Come regola generale, tieni gli occhi bene aperti quando trovi uno di questi elementi.
Prevenzione del phishing
Infine, tieni presente che le aziende e soprattutto le banche non rimborsano gli utenti vittime di phishing dato che, dal canto loro, informano i propri utenti di tutti i rischi e pericoli legati alla propria attività e non se ne assumono la responsabilità.
Pertanto, l’unica difesa è la prevenzione: per non finire nelle reti dei phisher, installa un buon pacchetto antivirus su tutti i tuoi dispositivi, completo di protezione dei dati personali e scansione delle email.
Buona navigazione!