Ricevi un’email da c0nto@intesasanpa0l0.com in cui si afferma di aver riscontrato attività sospette sull’estratto conto della tua carta di credito. Il messaggio ti chiede di verificare le tue informazioni finanziarie.

Che cosa fai? Sebbene la tentazione di fare clic su un link per risolvere immediatamente il problema sia forte, è probabile che l’email sia opera di un criminale informatico.

Il phishing (sul modello di “fishing”, ossia l’atto del pescare) è una truffa che ti induce ad abboccare fornendo volontariamente importanti informazioni personali. Per non abboccare e proteggerti dal phishing esamina alcuni esempi di email truffaldine e approfondisci questa comune frode online.

Che cos’è il phishing?

Il phishing è un reato informatico che mira a rubare i tuoi dati sensibili. I truffatori si spacciano per grandi aziende o altre entità autorevoli per indurti a fornire volontariamente informazioni come le credenziali di accesso a un sito Web o, peggio ancora, il numero della tua carta di credito.

Che cos’è un’email o SMS di phishing?

Un’email o SMS di phishing (quest’ultimo detto anche SMiShing) è un messaggio fraudolento ma apparentemente legittimo, che in genere chiede di fornire dati personali sensibili in vari modi. Se non osservi attentamente email ed SMS, potresti non essere in grado di distinguere i messaggi normali dal phishing. I truffatori si impegnano a fondo per far sembrare i messaggi di phishing come se fossero email ed SMS inviati da aziende affidabili, per cui è necessario essere prudenti quando si aprono questi messaggi e si fa clic sui link che contengono.

Come riconoscere un messaggio di phishing?

I piani degli autori del phishing vengono spesso vanificati da loro stessi perché commettono degli errori semplici, facili da individuare se si sa come riconoscerli. Ogni volta che apri un’email o un SMS cerca i seguenti indizi del phishing:

Il messaggio è scritto male

Anche le aziende più grandi a volte commettono dei piccoli errori nelle loro comunicazioni. I messaggi di phishing però contengono spesso errori grammaticali, ortografici e altri sbagli grossolani che le grandi aziende non farebbero mai. Se in un’email o in un SMS che richiede informazioni personali noti svariati ed evidenti errori grammaticali, è possibile che si tratti di una truffa di phishing.

Il logo è strano

Per essere più convincenti, gli autori del phishing spesso rubano i logo delle entità che impersonano. In molti casi, tuttavia, non lo fanno bene. In un’email o SMS di phishing il logo potrebbe avere proporzioni errate o una bassa risoluzione. Se devi strizzare gli occhi per distinguere il logo in un messaggio, è probabile che si tratti di phishing.

L’URL non corrisponde

Il phishing ruota intorno a dei link su cui si deve fare clic. Ecco alcuni modi per verificare se un link inviato da qualcuno è legittimo:

  • Passa il mouse sul link nell’email per visualizzarne l’URL. Spesso gli URL di phishing contengono errori di ortografia, un indizio comune della frode. Passando il mouse sul link è possibile visualizzarne l’anteprima. Se l’URL sembra sospetto, non interagire con esso ed elimina completamente il messaggio.
  • Fai clic con il tasto destro del mouse sul link, copialo e incolla l’URL in un elaboratore di testi. In questo modo potrai esaminare a fondo il link alla ricerca di errori grammaticali od ortografici senza dover raggiungere la pagina Web potenzialmente pericolosa.
  • Nei dispositivi mobili è possibile controllare l’URL di un link tenendolo premuto con il dito.

Se l’URL che hai scoperto non corrisponde all’entità che ti avrebbe inviato il messaggio, probabilmente hai ricevuto un’email di phishing.

Tipologie di email ed SMS di phishing

I messaggi di phishing sono di tutti i generi, ma alcune tipologie di email ed SMS sono più comuni di altre. Vediamo alcuni esempi delle truffe di phishing inviate più di frequente:

Frode del conto corrente sospeso

Alcune email di phishing sembrano informarti che la tua banca ti ha temporaneamente sospeso il conto corrente a causa di attività insolite. Se ricevi un’email di sospensione del conto da una banca presso la quale non lo hai neanche aperto, cancellala immediatamente senza pensarci due volte. Le email di phishing che parlano di sospensione del conto presso una banca con cui hai dei rapporti, sono invece più difficili da individuare. Utilizza i metodi che abbiamo elencato sopra per verificare l’integrità dell’email e, se tutto il resto fallisce, contatta direttamente la tua banca invece di aprire un qualsiasi link all’interno dell’email ricevuta.

Frode dell’autenticazione a due fattori

L’autenticazione a due fattori (2FA) è diventata comune, quindi probabilmente avrai già ricevuto le email che ti chiedono di confermare i dati di accesso con un codice numerico a sei cifre. I truffatori del phishing sanno anche quanto ormai la 2FA sia una prassi e potrebbero approfittare di questo servizio, che invece è mirato a proteggere la tua identità. Se ricevi un’email che ti chiede di accedere a un account per confermare la tua identità, utilizza i criteri che abbiamo elencato sopra per verificare l’autenticità del messaggio. Presta particolarmente attenzione se ti si chiede di usare l’autenticazione a due fattori per un account a cui non accedi da tempo.

Frode della conferma d’ordine

A volte i criminali informatici cercheranno di ingannarti inviandoti un’email con una falsa conferma d’ordine. Questi messaggi spesso contengono una “ricevuta” in allegato oppure un link con presunte ulteriori informazioni sull’ordine. I criminali utilizzano questi allegati e link per diffondere il malware nel dispositivo della vittima.

Il phishing sul luogo di lavoro

È necessario fare attenzione al phishing anche quando si utilizza l’email di lavoro. Una delle truffe di phishing più diffuse prevede l’invio di un’email che sembra inviata da un membro della direzione generale dell’azienda in cui lavora la vittima. L’email chiede al dipendente di trasferire dei fondi a un presunto cliente, ma in realtà il denaro va al truffatore. Utilizza i suggerimenti che abbiamo elencato sopra per individuare queste email fasulle.

Quando il phishing passa inosservato

Spesso i pirati informatici cercano di aggiornare le vecchie tattiche in modo da non farsi beccare da quegli utenti che sono già consapevoli di certe minacce informatiche. È il caso dell’ultima tecnica di elusione usata dal phishing che, per superare i controlli, rileva le macchine virtuali. Per determinare se un sito Web è in realtà una pagina di phishing, le aziende di sicurezza informatica spesso utilizzano dei dispositivi privi di periferiche o le macchine virtuali (dei file che funzionano come computer veri e propri). Ora, però, alcuni kit di phishing contengono il JavaScript: un linguaggio di programmazione che consente di eseguire funzioni complesse sulle pagine Web e che controlla se una macchina virtuale sta analizzando la pagina. Se rileva un tentativo di analisi, il kit di phishing mostra una pagina vuota al posto della pagina di phishing, consentendo alla frode di eludere il rilevamento. Per evitare di cadere nelle ultime truffe di phishing, mantieni il passo con le tecniche più recenti, in modo da tenere continuamente testa ai criminali informatici.

Cosa succede se si fa clic su un link in un’email di phishing?

Non fare mai clic sui link delle email sospette. Se fai clic su un link che sospetti sia stato inviato da un autore di phishing, il link ti porterà a una pagina Web contenente un modulo in cui inserire dati sensibili come il numero di previdenza sociale, i dati della carta di credito o le credenziali di accesso. Non inserire alcun dato in questa pagina.

Cosa fare se si sospetta di essere stati vittime del phishing?

Se inserisci per sbaglio dei dati in una pagina Web collegata a un’email sospetta, esegui una scansione antimalware completa del dispositivo. Una volta completata la scansione, esegui il backup di tutti i file e modifica le password. Anche se hai fornito a un autore di phishing i dati di un solo account, potresti avergli spalancato la porta per altri dati personali quindi, in seguito a un sospetto attacco di phishing, è importante cambiare tutte le password che utilizzi online.

Come riconoscere un’email di phishing: semplici consigli

Concludiamo con alcuni consigli sintetici su come evitare le email di phishing:

  • In caso di dubbio, invece di aprire i link inclusi in un’email sospetta, contatta direttamente l’organizzazione che te l’ha presumibilmente inviata.
  • Esamina attentamente le email sospette per verificare la presenza di indizi rivelatori del phishing, come una grammatica scorretta, logo sgranati o link fasulli.
  • Se fai clic per sbaglio su un link di phishing, non inserire alcun dato e chiudi la pagina.
  • Se pensi che dei truffatori ti stiano prendendo di mira, esegui una scansione antivirus, fai il backup dei file e cambia tutte le password.

Mantieniti al sicuro

Le email di phishing funzionano solo con chi non ne è consapevole. Ora che sai come riconoscere le email di phishing e cosa fare se sospetti che i truffatori ti stiano prendendo di mira, avrai molte meno probabilità di cadere in questi tranelli. Ricorda di fare attenzione ai tuoi dati personali quando utilizzi Internet e di usare prudenza quando qualcuno ti chiede di rivelare dati sensibili sulla tua identità, sulle tue finanze o sui tuoi dati di accesso.