Il Phishing è una truffa effettuata ai danni degli utenti con cui i cybercriminali tentano, con l'inganno, di estorcere alle proprie vittime i loro dati personali, finanziari o i codici di accesso, grazie a tecniche sofisticate.
Il Phishing è una truffa effettuata ai danni degli utenti di Internet con cui si tenta, con un raggiro, di estorcere alla potenziale vittima i propri dati personali, finanziari o i codici di accesso.
Si tratta naturalmente di un’attività non legale che utilizza una tecnica di ingegneria sociale, ossia, il truffatore invia una mail massiva che imitano, sia nell’aspetto che nel contenuto, le mail dei fornitori abituali di servizi degli utenti e con queste finte mail fraudolente viene fatta richiesta agli utenti ignari di fornire informazioni riservate come, tipo il numero della carta di credito, o la password di accesso ad un servizio online.
La maggior parte di queste truffe viene fatta tramite la posta elettronica, ma esistono casi simili che sfruttano i messaggi SMS.
La prima menzione registrata del termine Phishing è del 2 gennaio 1996 sul newsgroup di Usenet ‘alt.online-service.america-online’.
Il termine è una variante del vocabolo inglese ‘fishing’, che in Italiano significa “pescare” e si riferisce all’utilizzo di sofisticate tecniche per “prendere all’amo” i dati finanziari e le password degli utenti.
Finora si credeva che solo gli utenti più ingenui e sprovveduti o quelli con poche competenze tecnologiche potessero subire tale tipo di inganno, ma da un recente test online messo a punto da Intel Security, è emerso che la percentuale di persone che non è in grado di riconoscere una email phishing da una legittima è piuttosto alta.
Intel Security per effettuare questo studio ha coinvolto 19 mila utenti di 144 Paesi. Il test prevedeva di individuare e riconoscere, da parte dell’utente, quali tra 10 email, fossero autentiche e quali invece contenessero un “trabocchetto” allo scopo di estorcere le informazioni personali dell’utente.
E’ risultato che solo il 3% dei partecipanti al test è riuscito ad individuare le email phishing, mentre il 97% non ha riconosciuto l’inganno.
Tra gli utenti più accorti si trovano quelli che hanno un’età tra i 35 e i 44 anni; di questi il 68% di loro ha individuato molte email sospette, invece le donne sotto i 18 anni e quelle over 55 si sono rivelate essere quelle meno competenti e quindi più facilmente manipolabili.
I cybercriminali che utilizzano il phishing tramite posta elettronica, il più delle volte si spacciano per banche o altre organizzazioni, riuscendo a riprodurre, sia graficamente che nei contenuti delle email simili a quelle autentiche. Cliccando sui link riportati nel testo del messaggio si entra di solito su un sito in cui vengono richiesti al malcapitato utente i suoi dati personali, che quindi vengono sottratti. Finendo in questi siti è anche possibile essere contagiati da malware.
Per rubare i dati agli utenti basta scrivere una email ad un utente informandolo di una fattura di vendita o di un ordine, o di un bonifico, oppure elaborare con cura un finto messaggio di Facebook, o ancora, inviare conferme di bonifico, o informazioni di tentativi di accesso, o di carte di credito bloccate. Infatti, oggi gli attacchi online sono più sofisticati con un notevole aumento del potenziale danno a discapito degli internauti.
Il problema del Phishing, infatti, è dovuto al fatto che, oltre ad essere sempre più diffuso, cambia continuamente forma e modalità di attacco, riempiendo le caselle di posta ormai in tutto il mondo.
A volte si può riconoscere un’email non legittima dagli errori di ortografia, che sono di solito piuttosto grossolani. Ma siccome i cybercriminali non sono tutti dei somari, la strategia migliore è quella di controllare l’indirizzo email del mittente, oppure a quale sito porti il link che è stato inserito nel testo. Ad esempio, se si riceve un’email dalla propria banca, ma il link per aderire ad un’offerta o per inserire i propri dati non ha niente a che fare con essa, è evidente che si tratta di un tentativo di phishing.
Molti utenti non si rendono conto di questi trabocchetti a causa della loro incompetenza, poiché l’aspetto delle email in questione è piuttosto curato e potrebbe trarli in inganno.
Molti pacchetti di antivirus che sono presenti oggi su mercato integrano strumenti contro il phishing e sono capaci di riconoscere l’autenticità di una email e di allertare gli utenti in presenza di email sospette.