Phishing: cos’è, come riconoscerlo e come evitarlo

16 giugno 2020Ultimo aggiornamento 29 febbraio 2024
Tempo di lettura stimato: 5'
Hai ricevuto una mail dove ti chiedono i dati bancari, i dati della tua carta di credito o una password? Parliamo di mail apparentemente normali, che arrivano dalla banca, dall’Agenzia delle Entrate, dalle Poste o da un Social Network, per fare alcuni esempi. Oppure hai ricevuto un SMS con un link dal tuo istituto di credito con la richiesta di aggiornare i dati? Non fidarti! Potresti essere vittima di una truffa: un attacco di phishing. Vediamo cos’è il phishing, come riconoscerlo e come evitarlo.


Cos’è il phishing

Il phishing è un tipo di truffa online in cui un malintenzionato invia messaggi ingannevoli a delle vittime – noi, tu, chiunque - per convincerle a rivelare dati personali come il numero della carta di credito, le password di accesso all’home banking o al Cassetto Fiscale e così via, passandosi per un ente o un’azienda affidabile
Può fingersi l’Agenzia delle Entrate, l’istituto bancario in cui hai (o avevi) il conto corrente, le Poste, Facebook, Twitter, insomma un’organizzazione di cui ti fidi. 
Perché lo fa? Per rubarti l’identità
Si finge te e poi compra prodotti e servizi a nome tuo, sottoscrive contratti, agisce spacciandosi per te, a tua completa insaputa. Fino a che non ti trovi con il conto corrente a zero, con la carta di credito prosciugata, con l’account Facebook clonato e altre situazioni poco simpatiche. 
Come fa? Di solito agisce in 3 modi:


1) Invio massiccio di mail fasulle 

Prepara una mail fasulla, ma che sembra assolutamente autentica a quella dell’organizzazione o dell’azienda - ha lo stesso logo ed un testo simile a quello usato normalmente da quell’organizzazione – e poi la spedisce in maniera massiccia ad una serie di indirizzi mail. 
Nella mail chiede al destinatario di fornire i suoi dati personali per poter accedere ad un servizio. 
Per esempio, chiede di aggiornare, convalidare o confermare le informazioni contenute nell’account del servizio perché c’è stato un problema di registrazione o di altro tipo.
La mail contiene un link e la vittima viene reindirizzata su un sito web fasullo molto simile a quello istituzionale del mittente, dove inserisce i suoi dati e consegna inconsapevolmente ad un malvivente la sua identità. 


2) Invio di SMS con un link per accedere ad un sito web fasullo

Di solito la truffa avviene attraverso la posta elettronica, ma in alcuni casi il malintenzionato usa gli SMS. Anche questi sono molto simili a quelli ufficiali dell’ente o dell’organizzazione e invitano la persona a cliccare su un link per accedere ad un sito web (fasullo) in cui lasciare i propri dati. 


3) Attraverso un virus informatico

È un sistema ancora più subdolo. Il malvivente invia un allegato nella mail, di solito una fattura falsa, una multa, un avviso di consegna pacchi – il formato è comunissimo: può essere un file Excel, un documento .doc o un PDF – ed è così che avviene l’infezione. 
Il virus può andare dal Financial malware al Trojan banking, cioè virus che rubano i dati finanziari, fin al Virus keylogging che si attiva quando, sulla tastiera, vengono inseriti user e password, così il malvivente può accedere alla posta elettronica o all’account dell’e-commerce. 


Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

Se ti arriva un messaggio o una mail in cui ti chiedono di confermare, inviare, modificare informazioni personali, non fidarti. Meglio approfondire. Meglio fermarsi un attimo e telefonare al servizio clienti dell’ente, prima di aprire l’allegato o cliccare sul link. 
I tentativi di phishing fanno leva sulla paura. Fanno pressioni perché tu perda la testa per spingerti a rivelare i tuoi dati personali senza pensarci troppo. 
Sono messaggi simili a questi:
“Se i dati personali non saranno comunicati entro la tal data, il suo account verrà bloccato”
“Se vuole proteggersi dal phishing, clicchi su questo link ed inserisca login e password”
Presi dall’ansia è facile cadere nella trappola
Ecco alcuni consigli per cercare di capire se la mail o il messaggio che hai ricevuto è un tentativo di phishing:
  • Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
Gli attacchi di phishing usano link molto simili agli URL dei siti originali. Chi ha dimestichezza con il web di solito li riconosce facilmente, ma chi è meno esperto potrebbe scambiarli per i link ufficiali. Per esempio, possono includere il nome dell’azienda insieme ad altre parole: www.nomebancaexampel.it o www.nomebanca.it.personal.login o www.nomebanca.it-persona.login invece dell’ULR autentico www.nomebanca.it
In alcuni casi il link porta al sito web originale, ma poi l’URL della pagina è diverso. Quindi fai attenzione anche all’URL della pagina su cui atterri.
  • Fai attenzione ai link che iniziano con l’indirizzo IP
L’indirizzo IP è un'etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica. Quindi se il link inizia con una successione di numeri, fai attenzione e ricorda che le banche e gli enti non usano mai link di questo tipo.
 
  • Non compilare mai i campi all’interno di una mail
Se i campi da compilare sono nella mail fermati subito! Nessuna banca o istituzione ti chiederà mail di fare una cosa del genere.
  • Non aprire gli allegati di mail che non hai richiesto o che non conosci
Meglio un giro di telefonate in più che subire il raggiro. Chiama il servizio clienti dell’ente o dell’organizzazione e chiedi se stanno inviando messaggi o mail come quelli che hai ricevuto oppure rivolgiti alla Polizia Postale.
  • Non rivelare a nessuno le tue password e cambiale spesso
È una regola di buon senso, ma poco applicata. Invece è indispensabile per limitare i furti di identità. In azienda è una misura importante per ridurre il rischio di avere un Data Breach, cioè una violazione dei dati personali.
  • Usa un antivirus e un software anti-phishing (e tienilo aggiornato)
Gli attacchi di phishing sono sempre più sofisticati, quindi è importante usare dei software che possono contrastare queste frodi e tenerli aggiornati.
Il modo migliore per tenere al sicuro i tuoi dati è essere consapevole di quello che stai facendo. Non solo le aziende, gli enti e le organizzazioni, anche i singoli cittadini devono essere consapevoli, responsabili e competenti. Agire con accountability. Perché la protezione dei dati personali è una tutela che riguarda sia chi li raccoglie e li tratta, sia chi li affida ad altri.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli