Che cos’è il phishing? Come funziona e come difendersi?

Che cos'è il phishing? Come funziona e come difendersi? Non sai che cos’è il phishing, o più semplicemente come funziona o come difenderti? Allora sappi che sei capitato nel posto giusto. In questo apposito articolo ti spiegherò infatti sia che cos’è il phishing, sia come funziona il phishing, e sia, soprattutto, come difendersi dal phishing.

Indice

Che cos’è il phishing?

Il phishing (si pronuncia fìscing) non è altro che un tentativo di frode messo in pratica attraverso Internet che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito. Non a caso phishing deriva dal termine inglese fishing che significa, per l’appunto, pescare. Per mettere in pratica questo tentativo di frode, i malintenzionati che si avvalgono delle tecniche di phishing non utilizzano però virus, spyware, malware o altre tipologie di software malevolo, ma si limitano, piuttosto, ad usare tecniche di ingegneria sociale, attraverso le quali vengono studiate ed analizzate le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili.
La tecnica preferita per portare a termine un attacco di phishing consiste nell’inviare delle normali email, sotto forma di messaggi di spam, con sembianze e caratteristiche molto simili a quelle riscontrabili su siti web autorevoli e particolarmente diffusi come, ad esempio, istituti bancari, istituti postali, e servizi di pagamento online. Oltre a questa tecnica particolarmente diffusa, ne esistono però diverse altre, che sono meno frequenti ma pur sempre efficaci, quali lo spear phishing, l’invio di particolari SMS ingannevoli (tale tecnica viene chiamata in gergo smishing), o magari, talvolta, anche delle semplici telefonate.

Come funziona il phishing

Chi vuole sferrare un attacco di phishing generalmente ricorre ad una metodologia standard che di solito si articola in diverse fasi. La prima di queste, consiste nell’inviare alle potenziali vittime dei messaggi di posta elettronica contenenti delle informazioni, e magari anche dei loghi, tali da sembrare, allo stesso tempo, il più possibile familiari e allettanti. Per far sì di essere credibile, il messaggio fraudolento informa l’utente, guarda caso non chiamandolo mai con il proprio nome, simulando delle situazioni che possono in realtà verificarsi per davvero. Ad esempio, un tipico messaggio di phishing potrebbe riguardare:

  • la scadenza di una determinata password;
  • l’accettazione dei cambiamenti delle condizioni contrattuali;
  • il potenziale rinnovo della carta prepagata o della carta di credito, tipo Postepay, CartaSi, Visa o MasterCard;
  • dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti online, tipo PayPal, MoneyGram o Western Union;
  • la mancata, incompleta o errata presenza di informazioni, che magari riguardano Poste Italiane e/o gli account di Google, Facebook o Twitter;
  • la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le coordinate bancarie per far sì di esser tra i primi a beneficiarne;
  • ed altri usuali avvenimenti del genere.

Una volta quindi catturata l’attenzione dell’ignaro utente, il messaggio fraudolento, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito Internet in questione, che assomiglierà il più possibile a quello ufficiale, con la speranza che il malcapitato utente inserisca username, password e/o altre potenziali informazioni che possano rivelarsi utili in qualche modo. Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, cioè il malintenzionato, potrà disporre come gli pare e piace dei dati in suo possesso, con tutte le spiacevoli conseguenze del caso.

Come difendersi dal phishing

Oltre al phishing, esiste anche un’altra tecnica che viene talvolta utilizzata per avere accesso a potenziali informazioni riservate e delicate. Questa tecnica viene chiamata pharming ed ha, praticamente, lo stesso scopo del phishing, ovvero quello di carpire eventuali dati sensibili. A differenza del phishing, la tecnica del pharming viene però attuata sfruttando altri metodi: o variando i server DNS dell’ISP utilizzato, oppure utilizzando dei particolari programmi conosciuti come trojan.
A prescindere comunque dalla tecnica utilizzata dai malintenzionati di turno, per difenderti dal phishing e/o dal pharming non devi fare altro che seguire pochi ma semplici consigli:

  1. innanzitutto, verifica la provenienza del messaggio e leggilo attentamente poiché potrebbero anche esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi già farti insospettire in qualche modo;
  2. non cliccare mai sui collegamenti contenuti nel messaggio fraudolento e non scaricare/aprire mai eventuali allegati in esso presenti. Inoltre, se proprio vuoi contattare o raggiungere la presunta fonte del messaggio, fallo direttamente e mai attraverso il messaggio fraudolento che ti è stato inviato;
  3. controlla sempre l’URL del sito che compare nella barra degli indirizzi del tuo browser preferito e non lasciare mai troppe tab aperte in quest’ultimo, altrimenti potresti anche essere vittima di una tecnica conosciuta come tabnabbing;
  4. verifica periodicamente i movimenti del tuo conto corrente e, se è possibile, attiva il servizio di SMS alert che ti informerà non appena avverranno dei movimenti di denaro sul tuo conto;
  5. blocca subito eventuali pagamenti sospetti e non riscuotere mai per nessun motivo degli accrediti che non hai mai richiesto, altrimenti potresti essere persino accusato di riciclaggio;
  6. infine, se noti la presenza di email sospette, segnalalo al proprietario del servizio di posta elettronica contrassegnando, semplicemente, il messaggio come spam. Se invece noti la presenza di siti sospetti sarebbe il caso di fare una denuncia alle autorità competenti, o quanto meno informare la vera fonte in questione. In questo modo aiuterai te ma anche gli altri.

Oltre a seguire questi semplici consigli, per difenderti dai siti di phishing, dai falsi certificati SSL (i quali consentono di verificare l’attendibilità o meno di un determinato sito), ed anche dal cross-site scripting (chiamato a volte anche XSS), ti consiglio inoltre di tenere il tuo browser preferito sempre aggiornato, e magari di installare pure un’estensione gratuita come quella offerta da Netcraft, compatibile con Mozilla Firefox, Google Chrome, Microsoft Edge ed Opera, la quale ti aiuterà nel riconoscere questi potenziali rischi e, tra le altre cose, ti permetterà anche di segnalare eventuali URL sospetti. Una volta installata tale estensione sul tuo browser preferito, per utilizzarla non dovrai fare altro che cliccarci sopra: in questo modo saprai delle utili informazioni sul sito web che stai visitando in quel momento e, se sarà il caso, ti verrà impedito a priori di aprirlo.
Arrivati comunque a questo punto dovresti aver finalmente capito sia che cos’è il phishing, sia come funziona il phishing, e sia, soprattutto, come difendersi dal phishing.