Phishing: una minaccia alla sicurezza
Di Gabriele Brambilla
La sicurezza su internet è importante e il phishing è una delle minacce più diffuse: conosciamolo e capiamo come evitarlo
Introduzione al phishing web (e non)
È un pericolo presente dovunque e lo citiamo spesso nei nostri articoli e video: stiamo parlando del phishing.
Dall’arrivo degli smartphone, associato all’esplosione definitiva dell’adozione del web, le truffe sono diventate all’ordine del giorno. Alcuni utenti sanno bene come evitarle e riescono a muoversi in relativa sicurezza. Altri, invece, agiscono in buona fede e cadono nelle trappole dei malintenzionati.
Tra le tecniche più diffuse, l’attacco phishing occupa una posizione privilegiata. Nonostante sia sulla scena da anni, questa tipologia di scam si evolve e diventa più ingegnosa, così da poter continuare a mietere vittime. Però, di fondo si tratta sempre della stessa cosa, solo che è confezionata in maniera differente.
Oggi vogliamo approfondire il tema, innanzitutto capendo in cosa consiste il phishing e come poterlo riconoscere, anche mediante dei comuni esempi.
Vedremo poi come provare a difenderci e, nel caso ci fosse andata male, che cosa fare nel momento in cui ci si rende conto di essere caduti nel tranello.
Infine, completeremo l’opera scoprendo dove e come segnalare una truffa phishing.
Che si tratti di criptovalute, conti correnti bancari o altro, la cyber security deve essere sempre nei nostri pensieri.
Indice
Cos'è il phishing e come riconoscerlo?
Partiamo dalla terminologia di base:
Phishing definizione: una tipologia di truffa che avviene tramite dispositivi informatici (pc, smartphone, tablet…), solitamente utilizzando internet ma anche mediante SMS e telefonate.
Ma in sostanza, che cos’è un attacco phishing? Si tratta di una truffa che mira a impadronirsi delle credenziali di accesso a conti correnti, wallet crypto o qualsiasi altro dato che può in qualche modo condurre a essi. L’obiettivo finale del truffatore è riuscire a mettere le mani sui fondi del malcapitato.
La truffa prevede generalmente l’invio di email, messaggi WhatsApp o Telegram e SMS, ma può anche affidarsi alle telefonate o ad altre app.
Questi messaggi vengono presentati come leciti, inviati da entità come una banca, le poste o un exchange di criptovalute. Il contenuto varia, ma generalmente spinge l’utente ad agire per rimediare a un problema (ad esempio “il tuo pacco è in sospeso” o “abbiamo bloccato il tuo conto”).
All’interno dei messaggi possono esserci dei link che rimandano a siti internet phishing ricreati più o meno fedeli agli originali, cosicché la vittima continui a credere di essere in un ambiente sicuro e ufficiale. A questo punto, facendo login con le proprie credenziali, esse cadranno nelle mani dei truffatori.
Un altro contenuto dei messaggi di phishing può essere un allegato da scaricare, spacciato come una ricevuta o un documento importante. Procedendo si apriranno le porte a virus phishing, programmati per scavare nel nostro dispositivo alla ricerca di dati utili ai truffatori; oppure, ancora peggio, questi virus sono dei programmi (keylogger) in grado di leggere username e password che andremo a inserire la prima volta che vorremo accedere a un determinato sito da quel dispositivo, come ad esempio quello della nostra banca o Binance.
Quanto alle chiamate, l’operatore può spacciarsi per l’assistenza di un exchange, un impiegato delle poste o un addetto al servizio clienti della banca. Anche in questo caso, l’obiettivo è ottenere i dati di accesso al nostro conto o wallet, così da poter procedere al prelievo. I malfattori non si fanno problemi: denaro fiat, criptovalute e pure NFT… prendono tutto quello che trovano!
Gli attacchi phishing hanno purtroppo ancora molto successo, proprio perché in grado di evolversi nel tempo. Ormai i truffatori sono furbi e adottano tecniche più complesse, in grado di ingannare anche qualche utente più navigato.
Vediamo qualche esempio per comprendere perfettamente la natura di questo scam.
Esempi di phishing
Ecco tre esempi di phishing che potrebbero capitare davvero a chiunque.
Nel primo caso, la vittima riceve un SMS dalla banca, in cui viene comunicato il blocco del conto a causa di un problema tecnico. Per sistemare la cosa, si invita ad accedere con le proprie credenziali dell’home banking mediante il link fornito. Cliccando si finisce in un sito che sembra proprio quello della banca; qui sta l’astuzia degli scammer: ormai sono molto attenti ai dettagli e ci si può cascare facilmente.
Inutile dire che cosa succede nel caso dovessimo inserire i dati: i malintenzionati avrebbero in mano le credenziali e potrebbero rubare i nostri fondi.
Passiamo al secondo caso: una mail di phishing proveniente da un exchange di criptovalute come Bitget. Nel testo troveremo probabilmente il logo dell’azienda, così da rendere tutto più credibile.
Che sia per risolvere un problema, incassare una somma o altro, anche in questo caso si cerca di creare urgenza e spingere l’utente all’azione. Cliccando sul link fornito e inserendo i propri dati di accesso alla piattaforma, il risultato è identico al punto precedente.
Infine, l’immancabile mail o sms di un corriere. Solitamente essa comunica che un nostro fantomatico pacco è bloccato da qualche parte e che è richiesto il nostro intervento per proseguire. In questo caso, per cambiare l’esempio, potrebbe esserci una ricevuta in allegato da presentare alla sede del corriere per il ritiro. Scaricando il “documento”, ecco che in realtà daremo il benvenuto a virus o schifezze simili e l’attacco di phishing sarà andato a buon fine.
Possiamo difenderci? Certamente: scopriamo come nel prossimo paragrafo.
Qual è la migliore difesa contro il phishing?
La miglior difesa dai phishing links e altri tentativi di truffa, come le telefonate e i codici QR, sta nella consapevolezza. L’utente deve ampliare le proprie conoscenze e riuscire a sentire le campanelle d’allarme che evitano di cadere nella trappola, così da non dover poi provare a metterci una pezza.
La prima cosa da tenere in mente è che la maggioranza delle banche, exchange, società che emettono carte di credito/debito, fintech e via dicendo, non inviano SMS con link, tantomeno messaggi via WhatsApp o Telegram. Al contrario, spesso queste società avviano campagne proprio per informare i propri clienti che non invieranno mai link e che nessun loro operatore chiederà le nostre credenziali di accesso.
Evitando quindi di diffondere i dati e cliccare su dei link ricevuti, nel 99% dei casi possiamo ritenerci al sicuro. Nel caso avessimo dei dubbi, contattiamo subito l’assistenza clienti e informiamoci. Se il messaggio non è legato al data phishing, potremo procedere con maggior tranquillità.
Chiaramente vale la stessa regola con gli allegati: leggiamo bene la mail e, soprattutto, guardiamo l’indirizzo di posta elettronica da cui è partita. Ad esempio, se fosse davvero una mail del corriere SDA, probabilmente il mittente sarà qualcosa come nome@sda.it; se fosse la nostra banca, ipotizziamo Fineco, la mail sarà simile a nome@fineco.it. Quel che è certo è che indirizzi come assistenza@bestmail.ru o info@finnecco.it sono sicuramente degli scam.
Anche in questo caso, contattare subito l’assistenza per qualsiasi dubbio.
A proposito di indirizzi: quando accediamo a un sito, guardiamo l’URL e verifichiamo che sia effettivamente quello desiderato. Dopodiché salviamolo nei preferiti.
Non cerchiamo mai sui motori di ricerca i siti di banche, CeFi o piattaforme DeFi: molti truffatori acquistano gli spazi pubblicitari per comparire in cima alle ricerche e attrarre malcapitati.
Per la DeFi, cerchiamo le piattaforme su portali come DefiLlama, che forniscono pure i link; per tutto il resto (siti di banche, exchange e via dicendo), assicuriamoci di essere sul sito ufficiale. Per intenderci, il sito di binance è binance.com: cose come binance.crypto.com e bainance.com sono palesi falsi.
Solo per le truffe legate al corriere, la primissima domanda che dovremmo porci è “ma sto aspettando un pacco?”. Se la risposta è negativa, possiamo eliminare il messaggio ricevuto, perché è certamente phishing.
Quanto al nostro mondo, nessuna CeFi invia messaggi chiedendo seed phrase dei nostri wallet o le credenziali di accesso all’account, tantomeno lo faranno via telefono. Consiglio extra: per migliorare la sicurezza dei conti, attiviamo sempre l’autenticazione a due fattori.
Massima attenzione anche con il computer, su cui deve esserci sempre attivo un antivirus completo, che si occupi anche di malware e altri programmi spazzatura. Un minimo rischio c’è sempre ma, con le dovute cautele, si può ridurre di parecchio.
Cosa fare se si clicca su un link di phishing? Come poter rimediare? Le azioni sono molto semplici, scopriamole.
Cosa fare se si è vittima di phishing?
Nel caso fossimo già caduti nella trappola di una mail phishing o un messaggio, innanzitutto manteniamo la calma: agitarsi servirà solo a peggiorare la situazione. Seguiamo poi questi semplici passaggi.
LINK PHISHING
Ho aperto una mail di phishing e ho seguito il link, che fare?
Innanzitutto, se hai cliccato il link e sei finito in un sito internet, cos’è successo dopo? Se non hai inserito dei dati sensibili, come username e password del conto bancario, puoi stare più tranquillo. Sarà sufficiente eliminare il messaggio ed effettuare una bella scansione antivirus e antimalware; se non hai dimestichezza, chiedi a qualcuno di esperto. Importante: lascia il dispositivo disconnesso da internet e non digitare alcun dato sensibile fino al termine dei controlli.
Se hai inserito dei dati, la cosa si complica. La prima cosa da fare è contattare immediatamente l’assistenza clienti del servizio interessato. Ad esempio, se hai un conto BPM e hai diffuso le tue credenziali di accesso, telefona all’assistenza BPM, in modo tale che possano interrompere immediatamente l’operatività e preservare i tuoi fondi. Dopodiché dovrai cambiare le credenziali e, per sicurezza, verificare che sul dispositivo non siano stati scaricati virus o programmi malevoli.
ALLEGATO PHISHING
Hai scaricato un allegato, realizzando dopo che potrebbe contenere virus o malware. Ok, analizziamo la situazione e, a prescindere da tutto, eliminalo subito. Talvolta basta scaricarlo per avere problemi, mentre in altri casi bisogna aprirlo; a prescindere da ciò, seguiamo questi passaggi.
Se te ne sei reso/a conto subito, disconnetti il dispositivo da internet. Fatto ciò, avvia una scansione completa alla ricerca di virus e malware. Se non hai sufficiente esperienza, fatti aiutare da qualcuno in grado di effettuare queste operazioni.
Nell’eventualità in cui fosse passato del tempo, o peggio avessi effettuato l’accesso al conto in banca, al tuo account su un exchange crypto o a un wallet, rimboccati le maniche: contatta l’assistenza clienti dei servizi coinvolti e spiega la situazione; sposta i fondi da un wallet a un altro sicuro (non vorrai mettere a repentaglio i tuoi Bitcoin, vero?), chiaramente utilizzando un altro dispositivo non compromesso. Fa’ in modo di mettere al riparo i tuoi fondi e solo dopo pensa a rendere nuovamente utilizzabile il pc, telefono o tablet interessato dal problema. Agisci in fretta, non perdere neanche un secondo.
TELEFONATA PHISHING
Nel caso avessi ceduto delle credenziali via telefono, dovrai muoverti come già visto in precedenza: contattare l’assistenza e bloccare immediatamente il conto o l’account coinvolto. Se si tratta di un wallet, sposta subito i fondi altrove. Non lo nascondiamo: probabilmente avrai pochi minuti per intervenire, perciò dovrai muoverti davvero rapidamente.
Questi consigli sono basilari e possono andare bene per molte situazioni. Tuttavia, ciascuna banca o CeFi ha delle proprie procedure operative e numeri dedicati, perciò ti invitiamo a informarti nello specifico direttamente sui loro siti internet.
"Intervenire prontamente è la chiave per evitare problemi ben peggiori!"
Come segnalare un tentativo di phishing
Hai scansato la pallottola individuando un tentativo di phishing prima che potesse colpire… benissimo! Ora però dovrai comunque segnalarlo, cosicché l’azienda e le autorità possano esaminare la situazione e informare le altre potenziali vittime. Dobbiamo aiutarci a vicenda, solo così possiamo impedire ai truffatori di riuscire nel loro sporco lavoro.
Per segnalare phishing, contatta direttamente la compagnia interessata. Per esempio, se hai ricevuto un messaggio di un sedicente addetto all’assistenza clienti di Coinbase, scrivi o chiama la reale assistenza di Coinbase. Qualsiasi dettaglio è utile: racconta tutto quello che sai.
Non dimenticarti poi delle autorità. Segnala l’accaduto alla Polizia Postale, un organo che si dedica interamente a combattere queste minacce.
Sul loro sito internet puoi trovare informazioni utili, inoltrare domande e segnalare fatti sospetti.
Inoltre, sarai in grado di avviare procedure direttamente online o, se preferisci, recarti in sede. Trovi tutto quello che ti serve sapere su questa pagina.
Ora che sai cosa significa phishing, dovresti avere maggior consapevolezza. Resta sempre in guardia e ricorda: meglio esitare e porsi qualche domanda in più prima di procedere.
