Phishing e Smishing. Come riconoscere gli attacchi e difendersi dagli inganni

Al momento stai visualizzando Phishing e Smishing. Come riconoscere gli attacchi e difendersi dagli inganni

Nel 2021 gli utenti di posta elettronica in tutto il mondo potranno superare addirittura i 4 miliardi: a confermarlo è una ricerca condotta da The Radicati Group. E questa cifra assolutamente considerevole fa certamente gola ai criminal hacker, pronti a progettare inganni informatici ai danni di vittime ignare. Le truffe più diffuse in Rete riguardano gli attacchi phishing, ma una loro variante porta il nome di smishing e si serve direttamente dello smartphone. Vediamo insieme di cosa si tratta, come riconoscere le frodi e come difendersi da queste trappole tese tramite il vasto mondo del web.

Phishing: come funziona 

È una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli. In sostanza, la truffa informatica consiste nel sottrarre i dati di autenticazione (principalmente nome e password) facendoli inserire all’utente stesso in una pagina falsa di un servizio che il destinatario usa realmente.

Come ci spiega la Polizia Postale e delle Comunicazioni sul suo sito web, la truffa viene realizzata attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Riferendo problemi di registrazione o di altra natura, il messaggio invita a fornire i propri dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è stato allestito in modo identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

Sempre per recepire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo può arrivare dall’utilizzo dei virus informatici che si possono attivare quando si inseriscono user e password, quando si aprono allegati ai messaggi di posta come false fatture, avvisi di consegna di pacchi o tramite file di estensione .exe.

Attacchi phishing: riconoscere le e-mail sospette

Se si presta un minimo di attenzione è abbastanza semplice riconoscere le e-mail sospette. Solitamente, infatti si tratta di messaggi di posta elettronica, o SMS, che riportano un logo contraffatto e invitano il destinatario ad una specifica pagina web per fornire dati riservati, come per esempio il numero di carta di credito o le credenziali di accesso. Cosa possiamo fare?

  • controlliamo che l’indirizzo appartenga realmente alla persona da cui sostiene di provenire;
  • controlliamo bene nella barra del browser di non essere finiti su un indirizzo sospetto, perché anche se simili dal punto di vista grafico alle pagine web originali, spesso il nome del sito presenta minime differenze nell’indirizzo rispetto a quello autentico;
  • prestiamo attenzione a siti come “paypall.com” invece di paypal.com, oppure “g00gle.com” anziché google.com che hanno minime differenze nell’indirizzo rispetto a quelli autentici.

Le truffe telematiche sono in continua evoluzione. Oltre a quelle tramite mail, infatti, i cyber truffatori utilizzano anche un altro mezzo di comunicazione: gli sms.

Come funziona lo smishing

Lo smishing consiste nell’inviare un sms a migliaia di numeri telefonici. Il messaggio invita a visitare una pagina per confermare (ovvero regalare agli hacker) i nostri dati personali o persino quelli bancari.

Tra i più clamorosi casi di smishing visti in Italia, ricordiamo quello ai danni degli utenti di Poste Italiane e Banco Posta: il messaggio sms è camuffato e sembra provenire da Poste Italiane, ma in realtà è falso. Come è falso il sito sul quale veniamo spediti seguendo il link incluso messaggio di testo. In un’altra variante al posto del link compare un fantomatico numero dell’assistenza clienti di Poste Italiane da chiamare per confermare i nostri dati. In realtà dall’altra parte c’è un call center all’estero e un operatore (che non è affatto di Poste Italiane) che ci chiederà i dati del nostro conto corrente postale.

Come difendersi

Se arriva un messaggio di smishing sul nostro cellulare, sicuramente da qualche parte sul Web avremmo lasciato i nostri dati. La prima regola per difendersi dallo smishing, quindi, è evitare di compilare form in cui ci viene chiesto il numero di telefono senza un reale motivo.

Lascia un commento