Fenomeno ormai fuori controllo, a mio parere, ma non impossibile da combattere. Basta infatti usare la migliore arma in nostro possesso: il raziocinio e l'intelligenza.
Sui siti web di tutti gli interessati (Istituti bancari, Poste italiane, Agenzia delle entrate e Paypal, giusto per citarne alcuni) si trovano informazioni dettagliate su che cos'è il Phishing (da Wikipedia) e su come riconoscerlo. Ho preso questi tre nomi come esempio poichè sono quelli che più di tutti sono indirettamente coinvolti nella truffa.
In breve: il Phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, perchè molto difficili da scovare (se fatti bene). Vedi articolo Creazione e gestione di una password sicura.
Un esempio pratico di Phishing sono le e-mail che riceviamo quotidianamente da parte di: Istituti bancari, delle Poste italiane, da Paypal, nelle quali ci viene comunicato il blocco del nostro conto e ci viene richiesto contestualmente di accedere al nostro conto inserendo nell'apposito form (campi da compilare) la nostra username, password e numero conto.
La pericolosità di questa tecnica, sta nel fatto che l'aspetto grafico delle e-mail o delle pagine su cui si viene indirizzati per compilare il form, è identica a quella del sito originale. infatti vengono usati stili, loghi e colori ufficiali. Il tutto all'insaputa dei diretti interessati.
Ma come fare quindi a riconoscere il vero dal falso se logo e colori sono gli stessi?
Apparentemente sembra difficile ma anche in questo caso, usando la migliore arma in nostro possesso, è possibile capirlo.
Vediamo alcuni esempi pratici:
partiamo dal presupposto che, la nostra banca, le poste o paypal, non hanno bisogno di chiederci tramite e-mail o telefonicamente le credenziali di accesso al nostro conto;
- verificate il mittente dell'e-mail. Nel 90% dei casi il mittente non è reale. Una semplice verifica dell'indirizzo del mittente potete farlo cliccando col tasto destro del mouse sull'e-mail ricevuta e selezionando la voce proprietà. Potrete leggere oltre al nome usato, anche l'indirizzo e-mail del mittente. Tenete presente però che, le e-mail possono avere un mittente fasullo (leggi l'articolo Inviare e-mail anonime).
- Verificare il destinatario: nel 99% dei casi, queste e-mail sono invii di massa. Una banca, le poste o paypal, mai ci invierebbe una mail di massa chiedendoci informazioni sensibili. Noterete infatti che nel campo destinatario apparirà la voce Unknow (sconosciuto), undisclosed-recipients oppure il campo sarà vuoto. Queste voci infatti vengono generate quando si effettuano invii di massa. Nel caso in cui il nostro indirizzo e-mail fosse presente, leggetelo con attenzione (molte volte è solo simile al nostro). Se l'indirizzo dovesse essere effettivamente nostro, riflettete e cercate di ricordare quale indirizzo avete fornito e se avete autorizzato l'istituto a contattarvi tramite e-mail. Per verificare l'indirizzo, cliccate col tasto destro del mouse e selezionate proprietà.
- Leggere attentamente il testo della mail, ci accorgeremo che nella maggior parte dei casi ci sono grossolani errori grammaticali o errori tipici delle traduzioni automatizzate (ad esempio come quelle di Google Translate o di Bing).
- Posizioniamo il mouse (senza cliccare) sui link presenti nella mail o sulle immagini. Se osserviamo attentamente, in basso a sinistra dello schermo apparirà l'indirizzo di destinazione del link, cioè dove saremo rimandati in caso di click (vedi foto 2). Come si può notare nell'esempio, nella e-mail ricevuta da una nota banca, il link rimanda ad un indirizzo che nulla ha a che fare con la stessa. La pagina a cui verremo inviati probabilmente conterrà il logo e la grafica ufficiale della banca (falsificati) ed un form da compilare. Compilando il form, forniremo dati sensibili ad estranei.
- Verifichiamo anche il protocollo dell'indirizzo del sito che solitamente è "HTTP". Quando andiamo su siti internet dove è necessario autenticarsi con username e password, il protocollo cambia e diventa "HTTPS" (nella foto 1 si può vedere chiaramente la differenza tra il vero sito di paypal ed uno fasullo).
- Diffidiamo anche delle iniziative benefiche. Spesso riceviamo e-mail con richieste di beneficenza, con preghiera di farla girare, di segnalazione di persone scomparse, sopratutto bambini ecc.. Evitiamo assolutamente di abboccare a queste trappole. Anche in questo caso basta rifletterci bene: secondo voi, la polizia che indaga su una persona scomparsa, manda un'e-mail a noi con la preghiera di farla girare tra i nostri amici? Una persona che non può mangiare e chiede l'eslemosina, usa la posta elettronica? come mai possiede un computer ed un indirizzo e-mail con tanto di conto corrente? Ed ancora, abbiamo scoperto che un lontano parente che vive in America (il famoso zio in America esiste ed è il nostro!!!) ci ha lasciato qualche Milione di Dollari di eredità ed un Avvocato, dopo anni di indagini, ha scoperto che siamo gli unici eredi (quindi i nostri fratelli/sorelle, zii, nipoti, figli, genitori ecc.. sono tutti morti): Pensate veramente che essere contattati tramite e-mail e non tramite le autorità competenti (qualche Ministero, un ufficiale Giudiziario, un Notaio ecc..) sia la procedura ufficiale? E pensate veramente che per entrare in possesso dell'ipotetica eredità basti inviare una somma di qualche migliaio di euro per adempiere a tutta la burocrazia necessaria? La risposta è no!!
Tutti questi espedienti servono solo a "beccare il pollo di turno" (qualcuno c'è sempre), a carpire la buona fede, a rubare dati personali che poi vengono venduti a grosse aziende che effettuano spam in rete o anche pubblicità autorizzata, a cui non ci siamo mai iscritti e da cui dobbiamo cancellarci). In poche parole, facendo leva sui difetti che tutti abbiamo (egoismo, curiosità, generosità, avidità ecc..) veniamo convinti a fornire "volontariamente" i nostri dati personali, le nostre password ecc.
Ricordate, non dovete assolutamente cliccare sui link presenti in queste tipologie di e-mail. Non dovete mai rispondere e/o girare queste e-mail ad amici e conoscenti. Nelle e-mail e nei siti a cui veniamo indirizzati, spesso contengono virus e malware che infetterebbero il nostro computer esponendoci a rischi maggiori.