Phishing, come funzionano le truffe informatiche?

Una delle prime e più diffuse tecniche di truffa on-line è detta phishing, si tratta di una tecnica di truffa, finalizzata a rubare dati ed informazioni sensibili degli utenti, utilizzando diversi strumenti informatici.

In questo articolo cercheremo di capire cos’è il phishing, come funziona, quali sono le truffe più utilizzate, ma anche come scoprire eventuali truffe ed evitare di essere ingannati vedremo inoltre come fare e quali strumenti utilizzare per difenderci da queste truffe informatiche.

Cos’è il Phishing

Il termine phishing deriva dall’anglofono fishing, ovvero pescare, ed è utilizzato nel mondo informatico per identificare alcune tipologie di truffe informatiche in cui vengono rubati dati sensibili degli utenti, nella maggior parte dei casi dati di accesso a conti bancari, conti on-line, o codici per l’utilizzo di carte di credito, debito o prepagate.

Come anticipato il termine phishing deriva da fishing, perché la meccanica su cui si fonda questa “tecnica” prevede l’utilizzo di un esca, più o meno articolata, utilizzata per adescare l’ignara vittima.

Esempi di esche utilizzate nel phishing possono essere messaggi privati inviati in chat, sms o via mail, in cui si informa l’utente che è necessario inserire determinati dati per risolvere un problema, o per avere accesso ad un qualcosa, nel paragrafo seguente vedremo alcuni esempi pratici di truffe con phishing.

Solitamente questi messaggi reindirizzano gli utenti su pagine web create ad arte, perfettamente identiche alla pagina di login di conti on-line o di gestione delle carte, e, nei casi più avanzati, persino l’url della pagina è molto simile a quello originale.

Una volta su queste pagine l’utente ignaro che ha abboccato all’esca inserisce i propri dati, questi vengono registrati in un database, e quindi rubati dai truffatori.

Molto spesso questi portali fake, una volta inseriti i dati, simulano un errore, come se la password o il codice inserito fosse errato, per poi reindirizzare, tramite script, l’utente vero portale, dove potrà effettivamente loggarsi, ma a quel punto sarà troppo tardi, perché i truffatori avranno già ottenuto i dati d’accesso necessari.

Come vengono rubati i dati?

Come anticipato, il phishing è una truffa che punta a rubare dati sensibili utilizzando diversi strumenti informatici.

Le più comuni truffe per phishing utilizzano pagine web copiate, in alcuni casi i truffatori clonano una singola pagina, in altri, clonano l’intero sito.

In altri casi possono essere utilizzate applicazioni e programmi, chiamati keylogger, attraverso i quali viene registrato tutto ciò che viene digitato sulla tastiera di un pc, su un tablet o smartphone.

I keylogger possono operare localmente, o in remoto, comportandosi come dei virus che, una volta attivati, permettono ai truffatori di registrare tutto ciò che viene digitato dalla vittima.

Molto spesso questi strumenti vengono attivati invitando la vittima a cliccare su un link inviato via chat da parte di un utente che si finge un familiare, un legale o più comunemente un ragazzo o ragazza di bell’aspetto interessato/a ad una conoscenza particolare con la vittima.

Cosa si può rubare con il phishing?   

Le principali truffe con il metodo del phishing puntano a rubare agli utenti i propri dati di accesso a conti on-line, ma non sempre è così. 

Con la tecnica del phishing i truffatori possono rubare qualsiasi dato degli utenti, dai dati di accesso ai social network, ai dati di accesso ad app di messaggistica o caselle di posta, dai dati di accesso a portali di gioco, ai dati di accesso a servizi in abbonamento.

Bisogna quindi stare molto attenti quando si naviga in rete, soprattutto quando si ricevono messaggi in cui ci viene richiesto di inserire dei dati sensibili. 

Truffa con phishing ai danni dei clienti Intesa Sanpaolo

Uno dei più recenti esempi di truffe via phishing ha visto come vittima i clienti di Inesa Sanpaolo ai quali è stata recapitata questa mail:

Caro cliente:

Ti informiamo che la tua “O-key smart” è stata disattivata per motivi di sicurezza.

Orario di disattivazione: 2021-02-11 18:20

Dalla data precedente non potrai effettuare nessuna operazione dalla tua ‘App Intesa Sanpaolo’ fino a quando non avrai attivato la tua “O-key smart”.

Inserisci il seguente link per maggiori informazioni e riattiva la tua “O-key smart”: (per ragioni di sicurezza non abbiamo inserito il link presente nella mail)

———————————-

Ti stiamo inviando questo messaggio per garantire la sicurezza dei servizi a tua disposizione presso Banca Intesa Sanpaolo

Come si può osservare dalla breve mail, viene comunicato ai clienti che il servizio o-key smart è stato disattivato con conseguente sospensione di tutte le attività di gestione del conto tramite app. 

L’intento di questa mail è quello di invitare i clienti di intesa sanpaolo a recarsi su una finta pagina della banca, per poter riattivare, dopo aver inserito i propri dati di accesso alla banca, il servizio o-kay smart.

Gli utenti che sono stati ingannati ed hanno cliccato il link, inserendo i propri dati, hanno fornito ai truffatori dati sensibili e informazioni personali che questi avrebbero potuto utilizzare per accedere ai loro conti e derubarli. 

Come difendersi dal phishing

Con l’evolversi della tecnologia e il diffondersi della rete, le truffe per phishing sono aumentate, ma allo stesso tempo sono aumentati gli strumenti di difesa messi a disposizione delle piattaforme on-line per proteggere i propri utenti, ma prima di arrivare agli strumenti che possiamo utilizzare per proteggere i nostri dati, cerchiamo di capire a cosa bisogna fare attenzione per evitare di cadere vittima di questi truffatori.

La prima banale raccomandazione è quella di assicurarsi, sempre, che la pagina su cui ci troviamo sia effettivamente quella in cui crediamo di essere, per verificare ciò è importante fare attenzione all’URL della pagina.

Per riconoscere un URL autentico da un URL falso bisogna fare attenzione alle parole che lo compongono. solitamente un indirizzo web è composto da due o tre livelli al massimo, per fare un esempio pratico, l’indirizzo URL della pagina di Login di Facebook si compone di due livelli e si presenta più o meno in questo modo “https://www.facebook.com” 

Guardiamo nel dettaglio le varie parti dell’indirizzo.

La prima parte “https://” indica il protocollo di trasmissione, questa parte non sempre è visualizzata nella barra degli indirizzi,e in alcuni browser, come ad esempio google chrome, al suo posto potrebbe essere visibile un lucchetto chiuso.

La seconda parte dell’indirizzo “www” ci dice che il portale è sul world wide web, anche questa parte potrebbe non essere visibile a seconda del browser utilizzato, e si configura come un terzo livello del dominio web.

Arriviamo ora alla terza e quarta parte dell’indirizzo, che definiscono il secondo e primo livello del dominio web. Nella home page di facebook la parola “facebook” indica il secondo livello del dominio web, ed è l’elemento più importante dello stesso, mentre il “.com”  finale indica il primo livello del dominio e ci fornisce un’indicazione legata alla tipologia di portale. questa parte di dominio non può essere “personalizzata”.

Per accedere al proprio account di facebook è importante che facebook venga indicato al secondo livello del dominio, così da avere la certezza che quella pagina sia effettivamente di proprietà di facebook.

Una pagina di accesso a facebook il cui indirizzo, ad esempio, si configura come facebook.inlinestyle.it avrebbe come dominio di secondo livello “inlinestyle” e dunque non è una pagina ufficiale di facebook, ma bensì una pagina di proprietà del nostro portale. Di conseguenza, è meglio evitare di inserire in quella pagina i nostri dati di accesso a facebook, per evitare di cadere vittime di phishing.

Se  hai dubbi su come funziona un sito web, puoi leggere il nostro articolo su Come funziona un sito web?

Molte pagine web costruite ad hoc per il phishing sono perfettamente identiche alle pagine autentiche e anche l’url è molto simile, inoltre, non sempre gli utenti danno peso all’url e questo fa sì che molti utenti cadano vittima del phishing per effetto di un approccio molto superficiale al web.

Questi strumenti di prevenzione possono aiutarci solo in alcuni tentativi di phishing, ma purtroppo non da tutti.

Se la truffa infatti sfrutta un keylogger questo tipo di prevenzione può rivelarsi inefficace, ed è quindi necessario un più alto livello di attenzione che consiste nel cercare di verificare l’identità di chi ha inviato il messaggio.

Bisogna quindi controllare non solo la pagina di destinazione, perché a quel punto potrebbe essere già troppo tardi, ma anche la pagina di partenza ovvero chi è che ci ha inviato il messaggio.

Per fare un esempio pratico, se ricevete una mail da parte dell’avvocato di un vostro zio che vi comunica di aver ereditato un milione di euro in seguito alla prematura scomparsa del vostro familiare di cui ignoravate l’esistenza, e per accedere all’eredità dovete effettuare il login sul sito della vostra banca, tramite un link fornito da loro, forse è meglio non cliccare se non prima di aver attivato alcune procedure di sicurezza.

Come anticipavo, molte piattaforme web, in particolare quelle di web banking, ma anche servizi, social network, mail ecc, negli anni hanno introdotto alcuni sistemi di controllo ulteriori, che permettono agli utenti di difendersi dal phishing.

Il primo e più utilizzato sistema di controllo è quello dell’autenticazione in due fattori, grazie a questo sistema di protezione, anche se la nostra password dovesse essere rubata, sarebbe comunque necessaria l’autenticazione e autorizzazione mediante l’inserimento di un codice univoco ricevuto via mail, sms, o tramite app sullo smartphone ed è quindi possibile accedere soltanto in seguito all’inserimento di password e del codice univoco ricevuto. 

Come segnalare alla postale una truffa

Per segnalare una truffa o tentativo di phishing alle autorità, è sufficiente recarsi sul portale web della polizia postale, anche in questo caso, assicuratevi che l’URL sia autentico, di certo non volete cadere vittima di phishing mentre fate una segnalazione di una truffa per phishing.

La polizia postale, contattabile sul portale https://www.commissariatodips.it mette a disposizione degli utenti uno sportello virtuale grazie al quale è possibile effettuare segnalazioni di truffe e reati informatici. 

Per raggiungere lo sportello è sufficiente recarsi sul portale e cliccare su Segnalazioni e verrete reindirizzati automaticamente su questa pagina https://www.commissariatodips.it/segnalazioni/segnala-online/index.html

A cura di Antonio Coppola

COMMENTI

Share