Il termine phishing nasce dall’unione delle parole inglesi ‘phone‘ (telefono) e ‘to fish‘ (pescare) e descrive quella che, allo stato attuale, è la truffa informatica più diffusa. In pratica vengono carpiti dati riservati di un utente (password, numeri e codici di carte di credito) per utilizzarli abusivamente. Nella maggior parte dei casi, l’ignavo è condotto con un’esca (da qui la metafora ittica) verso siti web falsi che riproducono quelli originali dei più noti istituti di credito, assicurazioni, etc; tutti i dati inseriti dall’utente vengono memorizzati e utilizzati dal ‘pescatore’ a fini di lucro . Risalire all’autore della truffa è molto complesso, anche perché questi siti fantasma vengono spostati continuamente su server in differenti nazioni. L’esca? Una mail, cui contenuto varia di volta in volta. In alcune si invita ad aggiornare il proprio profilo o si notifica la presenza di documenti importanti da consultare, in altre si comunica la disattivazione di qualche account (che ovviamente induce a rifornirlo) generata da un blocco delle credenziali a seguito di un tentativo ‘fraudolento’ di qualche malintenzionato. La lista potrebbe continuare – la fantasia dei truffatori sembra essere senza limiti- ma comunque l’elemento comune è sempre lo stesso: condurre l’utente verso un sito falso affinché digiti dati riservati fruibili dai truffatori.
Episodi recenti hanno dimostrato che il phishing non è relegato alla sola sfera privata. Non so se hai sentito parlare del caso Salesforce, azienda leader mondiale nel mercato del software in modalità SAS (Software As a Service), sempre attenta alla sicurezza dei suoi servizi, cui clienti sono stati esposti all’invio di malware e messaggi di phishing a causa dell’incuria di un suo dipendente. Dipendente che, ‘abboccando’ a un messaggio di phishing, ha poi divulgato una password per accedere ad alcuni dati dei clienti Salesforce. Come conseguenza, i clienti hanno iniziato a ricevere fatture false e messaggi di posta pieni di malware. La risposta tempestiva di Salesforce ha portato al lieto fine, servendo di lezione per tutti quelli che ancora sottovalutano e trascurano le questioni di sicurezza. Seguire le vie tradizionali non è più sufficiente, così come pensare che la sicurezza aziendale sia materia di dibattito per una ‘casta’ chiusa. Ormai è fondamentale che chiunque all’interno dell’azienda, a qualsiasi livello, abbia consapevolezza del problema e sia in grado di attuare le misure necessarie per ridurre il rischio ai minimi termini.
E’ positivo il fatto che molti vendor integrino dei filtri anti-phishing nei loro prodotti – certo, non scongiurano il problema- e che non sono limitati a software di sicurezza (anche Internet Explorer nella versione 7 integra un filtro anti-phishing). Lo dimostra il fatto che ancora in tanti cadono nella rete dei pescatori virtuali che non rispettano mai il ‘fermo biologico’, ma anzi continuano a colpire con maggiore frequenza Ti suggeriamo alcuni accorgimenti per non ‘abboccare’: Attento al linguaggio impreciso Le traduzioni dei messaggi di phishing sono spesso imprecise. Diffida da comunicazioni che presentano errori di ortografia, battitura o sintassi. Digitare l’indirizzo direttamente nella barra degli indirizzi del tuo browser Non utilizzare mai i link presenti in messaggi di posta elettronica per accedere a siti di home-banking, finanziari, postali etc. Digita sempre l’indirizzo nella barra degli indirizzi del tuo browser. Anche se il link sembra credibile, non fidarti comunque, esistono delle tecniche che permettono di mascherare gli indirizzi. Usa particolare cautela (sempre osservando la barra degli indirizzi del browser) anche se accedi utilizzando i Preferiti, che possono essere stati modificati e/o sostituiti con indirizzi falsi. Se ti rendi conto di essere stato vittima di phishing e temi che i tuoi dati possano essere utilizzati abusivamente, modifica la password di accesso al servizio in questione il prima possibile e contatta l’assistenza clienti per bloccare eventuali abusi. Ovviamente, denuncia alle autorità competenti ogni illecito o sospetto di furto dei tuoi dati. Ricorda sempre che i siti di banche, istituti finanziari e assicurativi, commercio elettronico, etc. non chiedono mai tramite messaggi di posta elettronica dati personali, visto che sono perfettamente consapevoli dei rischi cui possono incappare i propri utenti.
