Come riconoscere messaggi phishing
In questa guida vedremo quali sono le buone pratiche da seguire per riconoscere messaggi phishing e difendersi dalle truffe onlineDai pacchi Amazon bloccati agli accessi non autorizzati alle app di homebanking, i tentativi di truffa veicolati tramite messaggi ed e-mail possono palesarsi in più forme. Riconoscerli può non essere affatto semplice, considerato che col tempo tali stratagemmi sono diventati un po' più credibili, quasi autorevoli, se vogliamo: sono spariti, infatti, gli errori grammaticali che spesso caratterizzavano le comunicazioni più dubbie, ma soprattutto questi messaggi riescono adesso ad inserirsi tra quelli legittimi (PosteID, l'istituto di credito che ha emesso la carta di credito o di debito, ad esempio), inducendo l'utente in errore.
Eppure, riconoscere messaggi phishing è possibile, giacché ci sono alcuni comuni denominatori che li continuano a contrassegnare. Pertanto, se anche voi avete ricevuto un messaggio dubbio, ecco come comportarsi. Considerata la stretta affinità con il discorso che stiamo per affrontare, vi suggeriamo di leggere il nostro articolo di approfondimento su come ottenere il rimborso dalla banca in caso di phishing.
Indice
Cos'è il phishing e tipi di phishing
Ma partiamo dall'inizio. Cos'è il phishing? Con questo nome si identificano tutte le truffe online che hanno un elemento in comune: indurre il malcapitato all'errore, sfruttando un elemento di debolezza ed esercitando una pressione psicologica tale da far sì che la vittima agisca di getto, giacché presa dal panico, dalla paura e dal timore.
Il phishing si materializza tramite una e-mail o un messaggio SMS. In tutt'e due i casi, il tenore della comunicazione ricevuta è principalmente di tipo allarmista: il destinatario si trova coinvolto in una situazione incresciosa (il pacco Amazon è stato rubato, il conto corrente è stato bloccato, qualcuno ha eseguito l'accesso al proprio profilo social).
Esistono, però, altre comunicazioni, stavolta configuranti pretesti positivi: si è vinto qualcosa; è stato erogato un rimborso.
Un'altra tecnica che sta prendendo piede nell'ultimo periodo consiste nell'aggiornare un'applicazione, in quanto obsoleta.
Il rischio è, al contrario, di scaricare un virus compromettente i propri dati personali.
Queste comunicazioni non sono, ovviamente, credibili, per quanto ben scritte (rispetto al passato) e, soprattutto, apparentemente provenienti da una azienda di sicuro spessore: l'istituto di credito, l'e-commerce più famoso al mondo, e via discorrendo. L'autore della truffa sfrutta, infatti, "l'istituzionalità" della società presa di mira (che, ovviamente, non ha alcun tipo di legame con il truffatore, essendo, anzi, essa stessa vittima di un danno di immagine).
A prescindere dalle varie sfumature, l'obiettivo dei malitenzionati è pressoché il medesimo: entrare a conoscenza di informazioni sensibili (finanziarie, personali), compromettendo definitivamente la sicurezza del malcapitato.
Come riconoscere phishing e come difendersi
L'elemento psicologico è, dunque, parte integrante della truffa, se non l'elemento cardine che la contraddistingue. Si tratta, in effetti, di una tecnica di ingegneria sociale che l'autore del raggiro usa per trarre profitto. Agire di impulso, sol perché spinti dalla paura o, all'opposto, dall'entusiasmo, continua ad essere la carta vincente per adescare nuove vittime.
Ma come difendersi dagli attacchi phishing? Esistono alcune buone pratiche da seguire per mettersi al riparo da questi tentativi fraudolenti. In primo luogo, le comunicazioni contengono l'invito a cliccare su un link, oppure a scaricare un allegato a "contorno" del messaggio di posta elettronica. Non bisogna mai condividere informazioni finanziarie, perché nessun istituto di credito o società chiederà dati così sensibili e personali, né tramite messaggio, né tramite e-mail.
In caso di dubbi, è sempre bene sentire la propria banca o la società che apparentemente ha inviato quel messaggio strano, chiedendo delucidazioni in merito. Così, ad esempio, se ci arriva un messaggio che ci informa che il pacco Amazon è stato smarrito ed effettivamente siamo in attesa di ricevere un ordine, non si dovrà agire di getto cliccando sul link, scaricando l'allegato o compilando un modulo, bensì sentire l'assistenza Amazon.
Anche le e-mail sono molto pericolose, in quanto contengono spesso un allegato o invitano l'utente a cliccare su qualcosa, con risultati potenzialmente devastanti: se il destinatario, infatti, fa clic su un collegamento a un sito infetto da malware (che, magari, replica in modo pedissequo la pagina dell'e-commerce preferito o l'area personale della nostra homebanking), tale sito può scaricare un virus sul dispositivo in uso, oppure leggere "in chiaro" le informazioni inserite (i dati della carta, user e password del nostro profilo, e via discorrendo).
Per riconoscere gli attacchi phishing è necessario, innanzitutto, smarcarsi da quelle comunicazioni che minacciano qualcosa a meno che non venga intrapresa un'azione urgente: la perdita di un'opportunità, delle conseguenze negative. Pertanto, anziché agire di "getto", riflettete con calma e rivolgetevi alla reale azienda che sembra avervi contattato.
Se ci sono link all'interno del messaggio o della e-mail, potete sempre adottare questo "trucco": piuttosto che cliccare sul collegamento, utilizzate il computer e passate il cursore del mouse sul link per far apparire in basso l'url.
Verificate, a questo punto, che il sito proposto appartenga ad una organizzazione esistente: ad esempio, se il truffatore si spaccia per Amazon, accertatevi che la url rimandi ad un dominio di proprietà di Amazon, e non, invece, ad un sito esterno sconosciuto.
Alla stessa maniera, le e-mail troppo "belle" per essere vere (del tenore, hai vinto l'ultimo iPhone) sono da evitare assolutamente, in quanto nessuno regala, purtroppo, niente.
In ogni caso, non divulgate informazioni di pagamento o altri dati sensibili, perché nessuno ve li chiederà; nemmeno la vostra banca.
In definitiva, i consigli da seguire sono pochi e semplici:
- Mai perdere la lucidità e farsi prendere dal panico
- Mai condividere informazioni personali
- Essere sempre sospettosi
- Non cliccare su link, scaricare allegati o rispondere a messaggi se non si è certi dell'autenticità della comunicazione ricevuta
- In caso di dubbi, sentite l'azienda che apparentemente vi ha contattato (ad esempio, se il messaggio sembra provenire da Poste, contattate Poste Italiane; se il messaggio sembra provenire da Amazon, contattate questo e-commerce).