Il termine phishing indica una tipologia di truffa che avviene su internet, con cui i criminali cercano di convincere con l’inganno la vittima a fornire i suoi dati personali o a inviare denaro.
Il termine “phishing” deriva e si pronuncia allo stesso modo della parola fishing, cioè “pescare”, dato che lo scopo dei criminali è quello di far “abboccare” il malcapitato.
Questa definizione generica però non rende l’idea dell’enorme quantità di tecniche di attacco al momento esistenti, che possono utilizzare e-mail, SMS, chiamate, siti web e altri sistemi ancora. Non importa quale strumento i criminali utilizzino per arrivare a noi, il loro fine è sempre lo stesso: mettere le mani sui nostri dati personali e, spesso ma non sempre, sul nostro denaro.
I dati rubati finiscono molto spesso sul Dark Web dove vengono venduti o scambiati. Utilizzandoli, da soli o in combinazione tra loro (ad esempio numero di documento + nome e cognome + indirizzo + data di nascita) i cybercriminali possono fingere di essere noi e fare acquisti con il nostro denaro, compiere dei reati o addirittura avviare delle frodi creditizie prendendo in prestito dei soldi a nostro nome.
Tra i dati personali maggiormente rubati ci sono le credenziali di accesso alle nostre e-mail, che possono servire per inviare e-mail truffaldine a nostro nome o spedire malware e ransomware ai nostri contatti, ma anche
Nel diritto penale italiano, il phishing non trova una collocazione specifica. A seconda della tipologia specifica, questa tipologia di reato può rientrare nella frode classica (normata dall’art. 640 c.p.) oppure nella frode informatica (art. 640 ter c.p.), associate eventualmente alla falsificazione di comunicazione telematica (art. 617 sexies c.p.), e all’accesso abusivo in un sistema informatico o telematico (art. 615 ter c.p.).
Questo tipo di phishing avviene tramite SMS: un SMS truffaldino cercherà di convincerti a comunicare i tuoi dati personali e/o finanziari, ad esempio indirizzandoti verso un apposito sito web.
Gli SMS potrebbero riguardare qualcuno che conosci, ed essere magari una richiesta
di aiuto. In quel caso, contatta la persona in questione o qualcuno a lei molto vicino, per verificare se si tratti di messaggi reali.
Il phishing via e-mail è probabilmente la tipologia più nota ma non per questo meno pericolosa. Consiste in messaggi e-mail fraudolenti in cui i cybercriminali cercano di convincerci a rivelare i nostri dati personali e/o bancari.
Il vishing è una tecnica di phishing che sfrutta le chiamate telefoniche per ingannare le vittime e convincerle a fornire i propri dati personali o a inviare denaro.
Può avvenire in due modalità: la vittima riceve un’e-mail, un SMS o un qualche altro tipo di comunicazione che la invita a contattare un finto numero di assistenza per, ad esempio, sbloccare la carta di credito. Oppure la vittima riceve una telefonata in cui i criminali fingono di essere la banca o la posta, o addirittura di parlare a nome di una persona cara in difficoltà.
Le informazioni necessarie a far abboccare le vittime possono essere reperite dai criminali attraverso i social media o, ad esempio, dal furto di un cellulare o delle credenziali di accesso all’e-mail di un conoscente, collega o familiare.
Esempio: una persona anziana riceve la telefonata di qualcuno che si finge amico di un parente che vive lontano, le dice che il parente è in difficoltà e cerca di convincerla a inviare del denaro.
La definizione di phishing è molto ampia e include in realtà un insieme di tecniche e strategie che i cybercriminali hanno elaborato per ingannare le loro vittime.
Ogni giorno vengono create nuove truffe di phishing, in questo articolo te ne raccontiamo alcune.
Lo spear phishing è una tipologia di phishing che avviene tramite messaggi (in genere e-mail o SMS) personalizzati. Viene citato il nome della persona presa di mira, e spesso contengono altre informazioni che la inducono a pensare di conoscere il mittente. I messaggi personalizzati vengono elaborati dai criminali a partire da ciò che riescono a scoprire dai social media o tramite dati rubati a qualcun altro.
È un phishing massivo: i cyber criminali inviano la stessa e-mail a quante più persone possibile, sperando che qualcuno abbocchi all’amo.
Il clone phishing è leggermente diverso da un tipico tentativo di phishing. Un attacco di clone phishing utilizza un'e-mail legittima o inviata in precedenza che contiene allegati o link. Il clone è una copia simile all'originale in cui gli allegati o i link vengono sostituiti con malware o virus. L'e-mail è in genere contraffatta in modo da sembrare un re-invio di una mail legittima. Quel che è peggio, l'e-mail viene inviata a un gran numero di destinatari e l'aggressore attende solo che le vittime clicchino sui link o sugli allegati. A quel punto, l'aggressore inoltra la stessa e-mail contraffatta ai contatti dalla posta in arrivo della vittima.
Questo tipo di attacco è considerato il più dannoso perché è difficile per le vittime identificare la mail contraffatta.
In questa tipologia di phishing, i cyber criminali propongono alle vittime, investimenti in criptovalute. Dal momento che il mercato delle criptovalute utilizza la blockchain per la verifica e non passa attraverso gli istituti di credito, è più difficile ottenere un rimborso. Per questo è sempre bene utilizzare le piattaforme di trading in criptovalute più note verificando anche reputazione e legittimità di chi vi propone lo scambio.
L’HTTPS phishing è una modalità di phishing che avviene tramite siti malevoli ma dotati comunque di sistema HTTPS, quello, per intenderci, che fa comparire il lucchetto accanto all’indirizzo del sito nel nostro browser di navigazione.
Il certificato HTTPS può essere autentico, legittimamente acquistato, o rubato e acquistato nel dark web. Ciò che conta è che l’utente, trovandosi su un sito munito di “lucchetto”, si sente al sicuro e fornisce i suoi dati personali senza pensarci troppo.
Attenzione però! Anche la modalità di navigazione su un sito HTTPS può non essere sicura, in caso il proprietario del sito sia un malintenzionato.
Se pensi di aver ricevuto una mail di phishing, la cosa più importante è non cliccare su alcun link presente, non aprire eventuali allegati, non rispondere al mittente (rispondendo all'e-mail, il truffatore saprà che quell’indirizzo email è ancora utilizzato).
Segnala l’email al tuo provider di posta, in modo che il provider possa fare le dovute verifiche.
Se hai ricevuto la comunicazione sulla tua email aziendale, segnalala al reparto IT. Capita sempre più spesso che il dipendente sia solo un tramite e che il vero oggetto dell’attacco sia l’azienda.
Spesso capita di ricevere email di phishing da noti provider di telefonia, di posta, banche, assicurazioni, o noti ecommerce: aiuterai queste imprese segnalando anche a loro questi episodi.
Se sei caduto vittima di un attacco phishing segnala quanto prima l'accaduto alla Polizia Postale in modo possa far partire un'indagine per risalire al mittente del messaggio e cercare di bloccare la truffa.
Una volta seguiti tutti questi passaggi, cancella l'e-mail.
Ci sono 5 regole d’oro da tenere sempre a mente e che possono aiutarci a difenderci dal phishing:
Secondo l’art.11 del D.Igs. 11/2010, il consumatore ha diritto ad un rimborso dell’importo che gli è stato sottratto tramite operazione non autorizzata. Per ottenerlo si deve anzitutto contestare l’operazione, informando l’istituto di credito di non averla mai autorizzata e facendo reclamo scritto.
Qualora la banca non volesse procedere con il rimborso, il consumatore può fare ricorso, procedendo prima con la mediazione obbligatoria, e solo successivamente potrà procedere con un’azione legale.
In alternativa, si può ricorrere all’ABF, cioè l’Arbitro Bancario Finanziario, la cui decisione non è vincolante e permette ad entrambe le parti di ricorrere successivamente alle vie legali senza la mediazione obbligatoria.
I nostri dati sono importanti, presta sempre attenzione ai messaggi che ricevi. Per una maggiore sicurezza puoi affidarti a SICURNET, il servizio che monitora la diffusione dei tuoi dati anche nei luoghi più pericolosi della rete, e ti avvisa se sono a rischio.
Nel frattempo, mettiti alla prova e gioca a CyberNinja, il gioco educational di CRIF per imparare a riconoscere le truffe e diventare cintura nera nello scovare i tentativi di phishing.
I contenuti di questo articolo sono diretti esclusivamente a fornire informazioni di carattere generale; Mister Credit non garantisce l’assenza di errori ed omissioni, anche derivanti da eventuali modifiche legislative.
Cerca
Fai la tua ricerca sul sito