Phishing: cos’è, come difendersi e cosa fare in caso di attacchi

Il phishing è sempre più diffuso in Italia e colpisce privati e aziende, sottraendo dati sensibili. Ecco come riconoscerlo, evitarlo e reagire a un attacco.

Phishing cos'è
 

Il phishing è una delle minacce informatiche più diffuse in Italia e in forte aumento nell’ultimo anno. Colpisce non solo i privati, ma anche le aziende e può avere gravi conseguenze, soprattutto in termini di sottrazione di dati sensibili.

È quindi importante sapere in cosa consiste il phishing, come si manifesta, alcune best practice per difendersi e, infine, come comportarsi in caso si diventi vittime di un attacco phishing.

Cos’è il phishing e in cosa consiste

Il phishing (dall’inglese fishing, pescare) è un tentativo di frode informatica con l’obiettivo di sottrarre alle vittime informazioni sensibili, come ad esempio username, password, codici di accesso a siti o a profili social, dati del conto corrente o della carta di credito.

La formula più comune consiste nell’invio massiccio di email apparentemente normali, spesso camuffate con nomi e loghi di siti o enti autorevoli – gestori di servizi internet o di telefonia, istituti bancari, servizi di pagamento online, servizi di spedizione espressa… – che richiedono di fornire i propri dati.

Questo fenomeno non soltanto è particolarmente diffuso in Italia, ma è addirittura in forte aumento, come testimonia il rapporto Clusit 2021 sulla cybersecurity, dal quale emerge quanto oltre “tradizionale” phishing via email si stia affermando sempre più lo smishing, ossia l’invio di SMS ingannevoli.

Come si manifesta il phishing

Un tentativo di phishing è in genere articolato in tre fasi:

  1. il messaggio viene confezionato per sembrare familiare e autorevole, imitando nella grafica, nei colori e nei loghi lo stile di un sito, una piattaforma o un ente esistente;
  2. viene fornito un pretesto credibile (rischio di perdita dei dati, chiusura dell’account, recupero di una spedizione, incasso di una vincita, accesso ad un buono sconto…) sulla base di cui viene chiesto all’utente di fornire, controllare o aggiornare i propri dati;
  3. si spinge a compiere l’azione richiesta, fornendo un link che porterà a una finta pagina con un form da compilare o al download di un allegato.

Questi messaggi sono solitamente caratterizzati da un tono di urgenza, che spinge l’utente ad agire d’impulso abbassando la guardia.

L’oggetto e il contenuto delle email di phishing riguardano di solito:

  • la compromissione o la scadenza di una password;
  • la verifica o il completamento delle informazioni per accedere a servizi online;
  • il rinnovo o la verifica dei dati di una carta di pagamento;
  • la presa visione di mutate condizioni contrattuali;
  • il controllo o la risoluzione di problematiche riguardo sistemi di pagamento o invio denaro online;
  • occasioni, sconti, bonus, vincite e persino offerte di lavoro “imperdibili”;
  • tracciamento o risoluzione di problemi per mancata consegna di spedizioni.

L’utente inconsapevole a questo punto ritiene di agire per il proprio bene, finendo così per cliccare su di un link o per scaricare un file.

Nel caso del link, l’utente può essere traghettato su una pagina fasulla con un modulo da compilare, e così facendo fornirà spontaneamente tutti i dati ingannevolmente richiesti. In altri casi, il link porterà a un sito infettato da malware o ransomware, che colpirà a sua volta il dispositivo della vittima, spesso senza che questa nemmeno se ne accorga.

Nel caso del download di allegati, invece, saranno questi a veicolare il malware o il ransomware, che dal computer infetto potranno poi diffondersi ad altri dispositivi, alla rete a cui il computer è collegato e persino ai sistemi cloud a cui è connesso.

Scopri cos’è un malware

Perché il phishing è un problema e quali conseguenze può avere

L’obiettivo primario del phishing, come abbiamo visto, è ottenere in modo fraudolento dati sensibili, codici di accesso e password, ma nel caso di utilizzo di malware o ransomware le conseguenze possono comportare anche attività spionaggio remoto o il blocco di dispositivi e intere reti.

Se per un privato cittadino queste eventualità possono comportare un notevole disagio, è facile comprendere quanto possano essere pesanti per un’azienda.

Un attacco phishing potrebbe ad esempio portare al furto di liste e contatti di clienti e fornitori, alla divulgazione di comunicazioni confidenziali o a vere e proprie azioni di spionaggio industriale. Un blocco della rete aziendale potrebbe portare ad esempio alla sospensione di determinati servizi, causando un notevole danno d’immagine all’impresa, per non parlare del rischio di accesso indesiderato ai dati finanziari, cosa che potrebbe comportare ingenti perdite di denaro in pochissimo tempo.
Insomma, se grazie al phishing un cybercriminale riesce a espugnare l’infrastruttura aziendale, le conseguenze possono essere davvero disastrose.

Riassumiamo qui gli scenari più frequenti:

  • Interruzione di produzione o servizio;
  • Blocco dell’accesso alle risorse aziendali (es. tramite crittografia);
  • Accesso indesiderato a comunicazioni private, file e sistemi;
  • Furto di fondi aziendali;
  • Furto ed esposizione di informazioni personali di dipendenti, clienti e fornitori;
  • Danni alla reputazione dell’azienda;
  • Perdita di valore dell’azienda;
  • Perdita di clienti;
  • Perdita di fiducia da parte degli investitori;
  • Rischio di sanzioni da parte degli enti regolatori;
  • Rischio di cause legali da parte di clienti, dipendenti, fornitori, ecc.

Come difendersi dal phishing

Le frodi informatiche sono sempre più elaborate e subdole, e può capitare anche agli utenti più smaliziati di cascarci.

Ormai, infatti, è raro imbattersi in email palesemente ingannevoli, mentre sono in aumento attacchi travisati da realtà con cui abbiamo a che fare ogni giorno e di cui ci fidiamo.

In genere, la prima cosa che dovrebbe indurre al sospetto, è l’assenza di un’intestazione con il nome corretto del destinatario. Altra cosa da verificare subito è il mittente, che spesso risulta un’accozzaglia di numeri e lettere, ed è associato a un dominio completamente slegato dal contesto dell’email.

Anche la forma è importante. Quasi sempre questo tipo di messaggi è sgrammaticato e mal confezionato, ed è abbastanza improbabile che un’azienda o un ente serio, come ad esempio una banca, possa inviare email di quel genere.

Inutile dire, poi, che sarebbe buona norma dotarsi di un antivirus professionale, e di fornire anche ai propri collaboratori gli strumenti per difendersi dal phishing, in primo luogo educando alla cautela.

Ecco, allora, una lista di consigli utili per difendersi dal phishing, che potrai condividere con colleghi e collaboratori per garantire una vera e propria cultura della sicurezza informatica in azienda.

  1. Prima di cliccare su qualunque indirizzo, controlla sempre il mittente e il link;
  2. Per controllare la validità di un link, passaci sopra con il mouse e verifica la sua destinazione;
  3. Invece di cliccare direttamente sul link, inserisci l’indirizzo direttamente nel tuo browser e naviga manualmente da là per effettuare i tuoi controlli.
  4. Verifica che l’URL della pagina inizi, invece che con “http”, con “https”. Significa che il protocollo di trasferimento è sicuro, infatti nel browser dovrebbe comparire l’icona di un lucchetto chiuso.
  5. Evita di utilizzare connessioni sconosciute o wi-fi pubblici senza password di accesso. Per una maggiore protezione, è possibile dotarsi di un VPN in grado di cifrare il traffico.
  6. Non condividere mai i propri dati sensibili con nessuno. Nessun ente o azienda chiederebbe mai tali informazioni via email.
  7. Se un’email ti sembra sospetta, prova a copiare un nome o una parte del messaggio in essa contenuto e riportalo su un motore di ricerca per vedere se vengono menzionate frodi con quelle caratteristiche.

Leggi anche “Truffa dell’Iban sostituito in fattura

Cosa fare in caso di attacco phishing

Se nel corso degli anni è molto aumentata la cultura della sicurezza e della cautela, e gli utenti sono sempre più consapevoli e informati, purtroppo anche i cybercriminali sono sempre più evoluti e i tentativi di frode sono sempre più difficili da intercettare e smascherare. Può quindi capitare a chiunque, magari per una semplice distrazione, di cedere i propri dati compilando un falso form o cliccando frettolosamente su di un link.

Che fare? Se la frode si celava sotto le mentite spoglie di un sito istituzionale o comunque conosciuto e fidato, la prima cosa da fare è cambiare immediatamente la password di accesso e successivamente informare i suoi amministratori perché prendano provvedimenti.

Nei casi più gravi come ad esempio il furto di identità o di dati sensibili, bisogna poi denunciare l’accaduto all’autorità competente, ovvero la Polizia Postale. La Pubblica Sicurezza potrà così aprire un regolare fascicolo da presentare alla Procura della Repubblica e ottenere l’autorizzazione a procedere con le indagini.

Leggi la guida Danea alla sicurezza informatica aziendale

Dal 2001 scrivo per siti internet e blog (passando per quelle che una volta erano le webzine, le community, ecc ecc). Lavoro in proprio come freelance e collaboro con diverse agenzie di comunicazione e ...

Vai agli articoli dell'autore >