Fenomeno phishing: cos’è e come difendersi dalle truffe online

Un amo da pesca e la scritta phishing su un tasto del pc

Le truffe online sono una realtà molto diffusa con cui tutti noi veniamo in contatto praticamente quotidianamente attraverso una serie di canali: SMS, social network e, soprattutto, e-mail.

Una delle forme più diffuse di truffa online tramite e-mail è sicuramente il phishing. In questo articolo ti spiegheremo cos’è il phishing e come riconoscere questa pratica fraudolenta.

Cos’è il phishing

Partiamo dalle basi: cos’è il phishing?

Il phishing è una forma di truffa online diffusa per lo più attraverso e-mail e SMS. Si contraddistingue perché il messaggio (sia esso di posta elettronica oppure SMS) richiede al destinatario di cliccare su un link per fornire alcune informazioni sensibili, come ad esempio i propri codici di accesso a un sito/portale/servizio, le proprie password, il numero di carta di credito ecc. Questi dati importantissimi e assolutamente sensibili e privati vengono così rubati e utilizzati dagli hacker per fini malevoli.

Come riconoscere il phishing

Ma, direte voi, gli utenti oramai sono esperti e nessuno inserirebbe i propri dati sensibili online senza insospettirsi.
Il fatto è che le truffe di tipo phishing sono studiate accuratamente proprio per convincere l’utente a fidarsi e a lasciare i propri dati.
Come?
Ecco alcuni elementi ai quali prestare attenzione:

Aspetto delle mail

Le mail di phishing hanno un aspetto tendenzialmente identico a quello delle comunicazioni ufficiali dei brand, come Amazon, istituti bancari, social network, provider di posta ecc. Logo, colori, impostazione sono studiati appositamente per sembrare le comunicazioni inviate realmente dalle aziende. Gli hacker vogliono infatti sfruttare immagine e fiducia generata da questi brand negli utenti.

Mittente

Il mittente che vedete all’interno della vostra casella di posta potrebbe essere quello che normalmente vi recapita delle comunicazioni, oppure un mittente verosimile, come ad esempio “Servizio clienti”. Una prima verifica che potete fare è quella sull’indirizzo e-mail associato.
Questo infatti non è mai associato al dominio di proprietà del brand la cui immagine è sfruttata per la truffa.

Contenuto della mail

All’interno della comunicazione vengono date motivazioni allarmanti o pretestuose per chiedervi di cliccare sul link presente e inserire i vostri dati. Possono essere, ad esempio, problemi di sicurezza, rischio di cancellazione dei vostri dati o del vostro account, problemi tecnici di varia natura, problema con dei pagamenti non andati a buon fine.
L’utente, spaventato dal messaggio allarmante ricevuto, dopo il click sul link nella mail phising, viene portato per l’inserimento dei propri dati su un sito parallelo identico a quello del brand sfruttato per la truffa e gestito dagli hacker.
Sappiamo che di fronte a certe comunicazioni è difficile mantenere la calma, ma è quello che dovete fare! Soprattutto perché generalmente i brand istituzionali non richiedono l’inserimento di dati personali e riservati in questo modo.

URL del sito all’interno della mail Phishing

Se controllate il link che trovate all’interno della comunicazione ricevuta noterete qualcosa di strano. Sarà sicuramente simile a quello ufficiale del brand, ma ci sarà qualche piccola differenza poco percettibile che vi permetterà di capire che si tratta di una truffa. Ad esempio potrebbero esserci delle lettere in più o mancarne altre.

Certificato con validazione estesa

A differenza dei siti dei brand istituzionali, i siti utilizzati per fare truffe online non hanno sicuramente il certificato con validazione estesa. Di cosa si tratta?
È una certificazione che prevede un processo di verifica dell’identità molto rigoroso e che garantisce che l’azienda è proprietaria del sito, assicurandone attendibilità e sicurezza in modo evidente per chi naviga le pagine. Come fare a capire se un sito lo possiede o meno?
Un sito con certificato con validazione estesa presenta nella barra degli indirizzi del browser un lucchetto con accanto il nome giuridico della società o dell’organizzazione e l’ubicazione del soggetto che possiede il sito web.

Cosa fare in caso di phishing

Quando ci si accorge di aver ricevuto una comunicazione di tipo phishing bisogna ignorare assolutamente il messaggio e cestinarlo e se possibile evitare di aprire anche il link inserito all’interno e non scaricare assolutamente eventuali file allegati.
Inoltre si può procedere con una segnalazione della truffa alla Polizia Postale.

Speriamo con questo articolo di averti fornito un utile vademecum per combattere e non rimanere vittima delle truffe di tipo phishing!