Gran parte della nostra vita personale e professionale si svolge online: dalle transazioni bancarie ai contatti con amici e familiari fino al rilassamento serale guardando i nostri film e programmi preferiti. Internet è un luogo piuttosto comodo! Purtroppo, può esserlo anche per i criminali informatici e per il furto di identità.

Uno dei modi in cui i truffatori cercano di approfittarsi di qualcuno, convincendolo a fornire i propri dati personali o a fare clic su un link che scarica un malware, è quello di darsi una parvenza affidabile oppure di spacciarsi per una persona che l’utente conosce realmente. Queste false comunicazioni online si chiamano “phishing” (termine che gioca sull’assonanza con “fishing”, ossia l’andare a pesca).

Come si dice, sapere è potere. Comprendendo cos’è il phishing, come funziona e quali sono i segnali da osservare, puoi ridurre al minimo i rischi e tornare a goderti Internet come si deve. Ecco cosa devi sapere. 

Come funziona il phishing?

Probabilmente avrai già sentito parlare del termine “phishing”, ma magari non ne conosci il significato. Ecco una rapida panoramica di come funziona.

Il phishing è un tipo di crimine informatico in cui i truffatori inviano comunicazioni che sembrano provenire da fonti attendibili, come ad esempio un’azienda importante: in pratica, cercano di sfruttare la fiducia delle persone tramite la cosiddetta ingegneria sociale. Potrebbero richiedere dati sensibili come password, informazioni bancarie e numeri delle carte di credito. Questi hacker poi usano tali informazioni per accedere alle carte di credito stesse o ai conti correnti.

Il problema degli attacchi di phishing è che possono arrivare attraverso diverse piattaforme, tra cui:

  • Posta elettronica: è il tipo di phishing più comune. Il 96% degli attacchi di phishing viene perpetrato tramite le email. 
  • Telefonate: i truffatori possono lasciare dei messaggi che spingono le vittime a chiamare un numero. All’altro capo del filo qualcuno chiederà i loro dati personali.
  • Messaggi SMS: l’obiettivo è indurre le persone a fare clic su un link che rimanda a un sito o a una pagina web dannosi.  
  • Wi-Fi fasulli: i truffatori creano un hotspot Wi-Fi gratuito ma dannoso, in tutto e per tutto simile a un punto di accesso legittimo. Quando un utente vi si connette, i criminali entrano nel suo sistema. 

Che tipo di informazioni cercano le truffe di phishing?

Abbiamo detto che i criminali informatici cercano di ottenere dati sensibili, ma quali esattamente? Il tipo di informazioni cercate dalle truffe di phishing include:

  • Credenziali di accesso (comprendenti account email e password).
  • Dati delle carte di credito.
  • Numeri dei conti correnti bancari.
  • Numeri della previdenza sociale.
  • Dati aziendali.

Tipologie degli attacchi di phishing

Le truffe di phishing possono assumere diverse forme. Conoscerne le tipologie più comuni ti aiuterà a tenere a bada i ladri di identità. Ecco quelle da tenere presenti:

Phishing via email

Un’email di phishing è un’email fraudolenta che viene fatta sembrare come proveniente da un’azienda o persona legittima. Potrebbe chiederti di fornire dati personali o di fare clic su un link che scarica un malware. Ad esempio: un’email apparentemente proveniente dalla tua banca ti segnala che, a causa di un’attività sospetta, devi accedere al conto corrente per verificare le tue informazioni.

Fortunatamente ci sono dei modi per individuare un attacco informatico di phishing come questo.  

  • Contiene errori di battitura e grammaticali. Se un’email è piena di errori ortografici e grammaticali, è probabile che si tratti di una truffa di phishing. Le aziende non inviano email piene di errori. 
  • Una banca richiede dati personali. Gli istituti finanziari non inviano email per chiedere dati personali come il PIN, il numero di previdenza sociale o il numero di conto corrente. Se ricevi un’email di questo tipo, cancellala senza fornire alcuna informazione. 
  • L’URL non corrisponde al nome. Per visualizzare l’indirizzo email del mittente, passa il mouse sul nome del mittente stesso o sul link contenuto nel messaggio. Un indirizzo del mittente che non corrisponde al nome visualizzato è un campanello di allarme. Ad esempio: se un’email in apparenza proveniente da FedEx ha un indirizzo senza il nome dell’azienda stessa oppure il nome è scritto in modo errato, molto probabilmente si tratta di un’email di phishing. Per controllare l’URL di un link da un telefono cellulare, tieni premuto il link con un dito. 
  • L’email non è personalizzata. Un’azienda con cui fai affari si rivolgerà a te chiamandoti per nome. Un’email di phishing potrebbe invece utilizzare un saluto generico come “Caro titolare del conto”.
  • C’è un senso di urgenza. I messaggi di phishing creano finte emergenze per indurti ad agire senza riflettere. Potrebbero affermare che il conto è stato bloccato, per cui devi confermare immediatamente i tuoi dati personali. Le richieste di un intervento di emergenza sono di solito email di phishing. Prima di chiudere un conto un’azienda legittima concede ai propri clienti un periodo di tempo ragionevole per rispondere. 
  • Viene da un mittente sconosciuto. Se un’email proviene da un mittente che non riconosci o da un’azienda da cui non compri, prendi in considerazione l’idea di cancellarla. Inoltre, fai attenzione ai messaggi provenienti da persone che conosci, ma che sembrano insoliti o sospetti. 

Il phishing selettivo (spear phishing)

Mentre alcune email di phishing vengono inviate a molti destinatari, le email di spear phishing (lett. “arpionamento”) si rivolgono a persone o aziende specifiche. In questa modalità i truffatori fanno ricerche sul destinatario per personalizzare il messaggio e farlo sembrare più autentico.

Esempi di email di spear phishing:

  • Intrusioni nelle aziende: i criminali informatici inviano email ai dipendenti di un’impresa per trovare le vulnerabilità nella rete aziendale. Le email sembrano provenire da un mittente affidabile. Basta che una sola persona faccia clic su un link, perché venga scaricato un ransomware che infetta tutta la rete aziendale.  
  • Una nota del capo: un dipendente riceve un’email fraudolenta che sembra provenire da un dirigente. Il messaggio chiede di comunicare informazioni aziendali o di accelerare il pagamento di un fornitore. 
  • Truffa sui social media: i criminali informatici possono utilizzare le informazioni del tuo account social per richiedere denaro o dati. Ad esempio, un nonno potrebbe ricevere un SMS che riporta il nome di un nipote al fine di chiedere denaro per una presunta emergenza. Quando lo chiama per controllare, il nonno scopre che il nipote è invece al sicuro a casa. 

Una delle migliori difese contro lo spear phishing consiste nel contattare il mittente dell’email per verificare la richiesta. Chiama il collega che ti chiede di fare un bonifico o accedi al tuo account Amazon per verificare la presenza di messaggi. 

Phishing di clonazione

In questa truffa altamente personalizzata, i criminali duplicano un’email legittima che potresti aver ricevuto in precedenza, aggiungendovi allegati dannosi o il link a un sito Web falso. L’email sostiene di essere un nuovo invio dell’originale. Se fai clic sul link dannoso, gli spammer accedono al tuo elenco di contatti, che a loro volta riceveranno un’email falsa ma in apparenza proveniente da te.

Anche se le email di phishing clonate sembrano autentiche, ci sono dei modi per riconoscerle, fra cui:  

  • Fare un controllo diretto. Visita il sito Web della banca, del rivenditore online o dell’azienda per verificare se devi davvero fare qualcosa. 
  • Guardare l’URL. Ci si deve fidare solo dei siti Web che iniziano con HTTPS, mai di quelli che iniziano con HTTP. 
  • Cercare gli errori. Come per qualsiasi messaggio email di phishing, fai attenzione agli errori di ortografia e di grammatica. 

Phishing vocale

Nel vishing, o phishing vocale, i truffatori ti chiamano per cercare di convincerti a fornire i dati sensibili. Falsificano il numero del chiamante per far sembrare la telefonata proveniente da un’azienda locale o addirittura dal tuo stesso numero di telefono. Le chiamate di vishing sono di solito automatiche. Lasciano un messaggio vocale o richiedono di premere dei pulsanti per parlare con un operatore. L’intento è quello di rubare i dati delle carte di credito o le informazioni personali e finanziarie, che verranno poi usate per il furto di identità.

Fortunatamente ci sono dei segnali indicatori di tali attacchi, fra cui:  

  • La chiamata proviene da un’agenzia statale. Se chi chiama finge di lavorare per un’agenzia statale, è probabile che si tratti di una truffa. A meno che tu lo abbia richiesto, enti statali come l’Agenzia delle Entrate non ti chiameranno, né ti manderanno messaggi SMS o di posta elettronica. 
  • Richiede un’azione urgente. I truffatori fanno leva sulla paura per indurti ad agire rapidamente. La pressione all’azione immediata è un indizio rivelatore. 
  • Chiede i dati personali. Un campanello di allarme è la richiesta di informazioni da parte del chiamante, che a volte possiede una parte dei tuoi dati, persino le prime cifre del numero di previdenza sociale. Il truffatore cercherà di farti credere che la chiamata sia legittima per farti divulgare ulteriori informazioni. 

Per evitare le chiamate di vishing puoi fare diverse cose. Se non riconosci il numero, non rispondere al telefono. Lascia rispondere la segreteria telefonica invece, poi blocca la chiamata se non è legittima. Utilizza un’applicazione di blocco delle chiamate per filtrare le telefonate in arrivo sul cellulare. Per bloccare le chiamate su un telefono fisso, informati sui servizi offerti dal tuo operatore telefonico.

Quando si ha a che fare con un criminale informatico non è il caso di essere educati. Se rispondi a una chiamata, riaggancia non appena ti accorgi che è un vishing. Non rispondere a nessuna domanda, nemmeno con un sì o un no. La tua voce potrebbe essere registrata e utilizzata per il furto di identità. Se ti viene chiesto di premere un pulsante per farti cancellare da un presunto elenco di chiamate, non farlo, poiché riceverai solo più telefonate.

Se ricevi un messaggio vocale e non hai la certezza che sia legittimo, chiama direttamente l’azienda in questione utilizzando il numero di telefono riportato sul suo sito Web. Non chiamare il numero lasciato nel messaggio vocale. 

Phishing tramite SMS (smishing)

Se hai mai ricevuto un SMS che sembra provenire da Amazon o FedEx, hai sperimentato lo smishing. I truffatori utilizzano i messaggi di smishing (phishing tramite SMS) per indurre le persone a fare clic su un link dannoso dal proprio smartphone. I più comuni messaggi SMS fraudolenti sono:

  • Vincita di premi: se un’offerta sembra troppo bella per essere vera, probabilmente è così. 
  • Rimborsi falsi: un’azienda da cui hai comprato non ti manderà un SMS, ma ti farà un accredito sul conto corrente o sulla carta di pagamento. 
  • Parenti che hanno bisogno di aiuto: questi messaggi possono richiedere il pagamento di una cauzione o di un tipo assistenza per un parente che si troverebbe all’estero. 
  • Messaggi da agenzie governative: elimina sempre questi messaggi perché le agenzie statali non interagiscono tramite SMS. 
  • SMS di aziende come Amazon o Apple: queste sono le società impersonate più di frequente perché moltissime persone compiono transazioni con una o entrambe. 

Se ricevi un SMS di smishing non rispondere, perché ne riceverai degli altri. Elimina invece il messaggio e blocca il numero. 

Phishing a comparsa

Il phishing a comparsa (pop-up) si verifica quando in un sito Web compare un annuncio falso, che ti spinge a fare clic su un link o a chiamare un numero per risolvere un problema. Quando cerchi di chiuderli, alcuni di questi messaggi si ricaricano ripetutamente oppure bloccano il browser.

Le truffe pop-up più comuni includono:

  • Allarme computer infetto: questo annuncio truffaldino cerca di convincerti a fare clic su un link per rimuovere presunti virus dal computer. Per aumentare l’urgenza, alcuni annunci includono anche un conto alla rovescia fasullo che sembra concedere pochi secondi per fare clic sul link di installazione di un software antivirus. Il link installa invece un malware. Un software antivirus affidabile come McAfee Total Protection non si comporta così, ma mantiene la tua vita connessa al sicuro da malware, phishing e altro. 
  • Rinnovo di AppleCare: questo pop-up invita a chiamare un falso numero di Apple per fornire i dati della carta di credito e prolungare la garanzia di Apple. 
  • Pop-up del fornitore di posta elettronica: questo messaggio a comparsa, in apparenza proveniente dal fornitore di posta elettronica, ti invita a fornire i dati personali. 

Se vedi un annuncio pop-up truffaldino, non farvi clic e non cercare neanche di fare clic sul pulsante di chiusura all’interno dell’annuncio stesso. Chiudi invece la finestra del browser. Se usi un PC e il browser è bloccato, chiudilo dalla Gestione attività. Se usi un Mac, fai clic sull’icona Apple e scegli Uscita forzata. 

Cosa devo fare se sono vittima del phishing?

La nostra presenza online ci rende visibili a molte persone, compresi i truffatori. Se sei una vittima del phishing, fortunatamente c’è qualcosa che puoi fare per tornare a goderti il mondo digitale, ad esempio:

  • Sporgi denuncia alla Polizia Postale. Vai su commissariatodips.it per segnalare il phishing e segui i passaggi indicati. 
  • Cambia le password. Se hai fornito le password del tuo conto corrente o di un altro sito Web, accedi all’account e modifica le password e le credenziali di accesso. Se hai altri account con le stesse password, cambia anche quelle. Non utilizzare la stessa password per più di un account. 
  • Chiama la società emittente della carta di credito per informarla del fatto che hai divulgato il numero della tua carta. La società potrà verificare la presenza di eventuali addebiti fraudolenti, bloccare la carta attuale ed emetterne una nuova. 
  • Esamina il tuo report di affidabilità creditizia. Puoi verificare se il tuo nominativo è stato segnalato nella Centrale di Allarme Interbancaria per una carta di pagamento revocata oppure puoi richiedere i dati segnalati nella Centrale dei Rischi a tuo nome, visitando i Servizi Online della Banca d’Italia. Controlla se sono stati aperti dei nuovi conti a tuo nome. 
  • Esegui la scansione dei dispositivi. È possibile che a seguito dell’attacco di phishing tu abbia scaricato un malware.Un software antivirus, come quello incluso in McAfee Total Protection, è in grado di scansionare i dispositivi in tempo reale per rilevare le attività dannose e rimuovere i virus presenti nei dispositivi.  

Come proteggersi dai tentativi di phishing?

Ti meriti di vivere online liberamente, ma per questo devi prendere dei provvedimenti per proteggerti dai tentativi di phishing. Ecco alcuni modi per aumentare la tua sicurezza informatica e tenere a bada i truffatori:

  • Non fare clic sui link contenuti nelle email. Se ricevi un’email dalla tua banca o da un’azienda come Amazon, apri una finestra del browser e vai direttamente al relativo sito. Non fare clic nei link contenuti nelle email. 
  • Usa delle password univoche. Se utilizzi la stessa password per più account, un pirata informatico che ottiene l’accesso a un account potrà entrare anche in tutti gli altri. Utilizza una password diversa per ogni account. Un gestore delle password come McAfee True Key ti aiuta a creare e salvare le password. 
  • Controlla la sicurezza del browser. I browser web come Google Chrome e Safari possono essere impostati per bloccare i siti Web fraudolenti. Vai alle impostazioni del browser e regola il livello di sicurezza. 
  • Utilizza i filtri antispam. Tutti i principali fornitori di posta elettronica dispongono di filtri antispam che spostano le email sospette nella cartella della posta indesiderata o dello spam. Quando nella posta in arrivo sono presenti delle email di phishing, contrassegnale sempre come spam, in modo che tutte le email provenienti dallo stesso mittente finiscano nella posta indesiderata.  
  • Elimina le email sospette. Elimina, ad esempio, le email provenienti da istituti finanziari che hanno un oggetto urgente. 
  • Utilizza una protezione antivirus. Tutti i dispositivi connessi a Internet dovrebbero avere una protezione antivirus come McAfee Total Protection. Imposta l’aggiornamento automatico per mantenere al passo la copertura. 
  • Non inviare informazioni via email. Le banche e le società delle carte di credito non ti invieranno email di richiesta dei dati personali. Se vuoi chiedere conferma a un istituto finanziario, contattalo direttamente ai recapiti indicati sul suo sito Web, ad esempio un numero di telefono. 
  • Controlla i tuoi post sui social media. Fai attenzione a ciò che pubblichi sui social media. I quiz in cui si chiedono dettagli della vita, come il nome del proprio animale domestico, il nome della scuola e così via, possono fornire agli hacker una grande quantità di informazioni. Assicurati che solo gli amici possano visualizzare i tuoi post. 

Navigare online in modo sicuro e protetto

Non è necessario smettere di godersi Internet solo per colpa dei tentativi di phishing. I servizi di protezione dal furto di identità di McAfee, compreso il software antivirus, consentono di godere del proprio mondo digitale rimanendo al sicuro da truffatori e ladri di identità.

Con il monitoraggio attivo 24 ore su 24 dei tuoi dati sensibili, comprendente 60 tipologie univoche di informazioni personali, McAfee punta alla protezione precoce. Questo significa che ti avviserà 10 mesi prima dei nostri concorrenti, così potrai agire prima che i tuoi dati vengano utilizzati illegalmente. Fornisce inoltre una copertura fino a 1 milione di dollari per il furto di identità e un pratico servizio di ripristino in caso di violazione dei dati.

La cosa migliore è che puoi personalizzare il pacchetto in base alle tue esigenze, includendo la protezione dai virus, il monitoraggioper il furto di identità e la copertura per più dispositivi. Rendiamo più sicura la navigazione in rete.