Evitare le truffe via email (Phishing)

| 0 commenti

Ti è mai capitato di ricevere un’email apparentemente uguale a quelle inviate dalla tua banca, che ti dice che si è verificato un problema sul conto corrente e ti invita a cliccare su un link per effettuare l’accesso alla tua area riservata?

Oppure un’email simile a quelle del tuo gestore di posta elettronica in cui ti si chiede di confermare la tua password per evitare la cancellazione dell’account?

Ecco, queste sono tutte truffe online dette tecnicamente “Phishing“.
truffe-online-phishing

Che cos’è il Phishing?

Il phishing consiste in un attacco informatico da parte di malintenzionati che, tramite email e siti quasi identici a quelli ufficiali, inducono con l’inganno i destinatari del messaggio a fornire online informazioni personali e riservate.

Alcuni esempi?

La banca ti chiede conferma dei dati di accesso al conto bancario per un fantomatico “aggiornamento programmato per la sicurezza dei database” o per “verificare un addebito anomalo”.

Un sito di e-commerce ti informa che il tuo pagamento del tuo ultimo ordine non è andato a buon fine e devi reinserire i dati della carta di credito.

L’ultimo fenomeno di Phishing (pubblicato dal 15/02/2016 sul sito della Polizia Postale) riguarda Equitalia.
Il testo del messaggio fa riferimento ad una cartella esattoriale per un procedimento amministrativo sanzionatorio contenuta in un falso sito della Unipol Banca.
Non cliccare sui link contenuti, non aprire eventuali allegati e non fornire dati riservati.

Per rendere meglio l’idea, ecco anche alcune immagini di queste email truffaldine:

phishing-poste-italiane

phishing-bancaintesa

phishing-paypal
Attenzione: non ci credere, sono tutte truffe!
Nessuna banca o gestore di posta vi chiederebbe mai la password, il pin o il numero di carta di credito via email.

Qual è la metodologia di attacco?

Normalmente un attacco di phishing si sviluppa in questi passaggi:

  1. il malintenzionato (detto phisher) spedisce alle sue vittime un’email molto simile a quelle ufficiali della banca, posta, provider o sito del quale vuole carpire i vostri dati di accesso.
    Per rendere la comunicazione più credibile, utilizza un mittente apparentemente ufficiale, i loghi originali della società/ente e grafica e contenuti che simulano perfettamente le comunicazioni originali.
  2. nell’email, normalmente, l’utente viene invitato a digitare le proprie credenziali di accesso alla casella di posta o al conto corrente per verificare un’anomalia legata al proprio indirizzo, conto o ordine. Non rispondete mai a queste email digitando i vostri dati riservati.
  3. nell’email di phishing c’e’ quasi sempre un link al sito della società/banca/ente a cui si fa riferimento nel messaggio. Non cliccate mai su questi link.
  4. il link fornito in realtà non porta al sito web ufficiale della società/banca/ente, ma ad una sua copia fasulla, molto simile all’originale, che permette al phisher di richiedere all’utente i dati di accesso al conto/casella/sito senza che questo dubiti di nulla.

    Le informazioni/password/pin digitati in questo sito fasullo vengono memorizzate dal phisher che potrà utilizzarle a suo piacere per truffare l’ignaro utente.

Come evitare attacchi di phishing

Presta attenzione ogni volta che ricevi da un sito un’email di richiesta di informazioni personali.

  • Se ricevi questo tipo di messaggio, non fornire mai le informazioni richieste senza verificare che il sito sia legittimo. Contatta direttamente il sito ufficiale e chiedi delucidazioni.
  • Non cliccare sul link presente nell’email, ma apri il sito ufficiale direttamente dal tuo browser.
  • Se devi effettuare l’accesso alla tua area riservata e hai dei dubbi, prova a sbagliare la password al primo tentativo: il vero sito ti restituirà un messaggio di errore, mentre quello fasullo non se ne accorgerà in quanto sta solo memorizzando i dati da te digitati per riutilizzarli in seguito.

Ho ricevuto un’email di Phishing. Cosa devo fare?

Se hai ricevuto un’email di Phishing e non hai inserito dati, è buona regola inoltrarne una copia alle autorità competenti (molto importante riportare l’intestazione del messaggio o header dell’email) e avvisare la banca o il sito interessato, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.

Hai fornito i tuoi dati via email o all’interno di un sito copia?

Ti consigliamo di contattare subito la tua banca o l’amministratore del sito originale e avvertirli dell’accaduto, di cambiare la password che ti è stata presumibilmente carpita e di sporgere denuncia (Denuncia online).

Lascia un commento

I campi obbligatori sono contrassegnati con *.