Data protection

il phishing cosa è e come difendersi.

Cos’è il phishing

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA)[1] a tale proposito ha fornito le seguenti specifiche:

Il phishing è il tentativo fraudolento di rubare dati utente come credenziali di accesso, informazioni sulla carta di credito o persino denaro utilizzando tecniche di ingegneria sociale. Questo tipo di attacco viene solitamente lanciato tramite messaggi di posta elettronica, che sembrano inviati da una fonte attendibile, con l’intenzione di persuadere l’utente ad aprire un allegato dannoso o a seguire un URL fraudolento. Una forma mirata di phishing chiamata “spear phishing” si basa sulla ricerca anticipata delle vittime in modo che la truffa appaia più autentica, rendendola così uno dei tipi di attacco di maggior successo alle reti aziendali.1 Una risposta emotiva giustifica le azioni di molte persone quando vengono sottoposti a phishing ed è esattamente ciò che gli hacker stanno cercando. In un contesto formativo, questo è ciò che una simulazione di phishing dovrebbe cercare di ottenere. La formazione degli utenti di posta elettronica è una delle misure spesso utilizzate per prevenire il phishing, ma i risultati non sono convincenti poiché gli autori delle minacce cambiano costantemente il loro modus operandi. Lo standard DMARC (Domain-based Message Authentication, Reporting and Conformance) garantisce che la posta elettronica proveniente da domini fraudolenti venga bloccata, diminuendo la percentuale di successo degli attacchi di phishing, spoofing e spam.

Anche in futuro la posta elettronica continuerà ad essere il meccanismo numero uno per il phishing, ma non per molto. Stiamo già assistendo a un aumento nell’uso della messaggistica sui social media, WhatsApp e altri per condurre attacchi. Il cambiamento più rilevante riguarderà i metodi utilizzati per inviare i messaggi, che diventeranno più sofisticati con l’adozione dell’Intelligenza Artificiale (AI) avversaria per preparare e inviare i messaggi. Il phishing e lo spear phishing sono i principali vettori di attacco di altre minacce, come le minacce interne involontarieä

Il phishing è una truffa digitale, in cui si cerca di ingannare la vittima spingendola ad effettuare operazioni allo scopo di recuperare le sue informazioni personali come username, password o altri dati riservati. Generalmente, il criminale informatico invia false comunicazioni al soggetto, fingendosi un ente o un’azienda ben conosciuta o con cui è possibile siano già in corso conversazioni e relazioni, usando scuse plausibili per ottenere i dati personali della vittima. 

Solitamente gli attacchi di phishing si presentano come comunicazioni digitali che giungono al destinatario via e-mail, via SMS (fenomeno noto come smishing), tramite un social network o sulle principali piattaforme di instant messaging e, generalmente, sono accomunati da una o più delle seguenti caratteristiche: 

  • comunicazione di una sospensione o blocco di un account senza alcuna spiegazione;
  • sollecito di pagamento legato ad una determinata operazione entro una data di scadenza fittizia;
  • presenza di un indirizzo web che include un dominio simile ma diverso da quello originale dell’ente;
  • richiesta di informazioni private;  
  • errori ortografici nel corpo del messaggio. 

Come proteggersi

Esistono una serie di accorgimenti che consentono di navigare più sicuri e non cadere vittime dell’attacco, tra questi:

  • Controllare il reale mittente del messaggio. Nonostante il mittente della comunicazione possa sembrare familiare, è sempre bene analizzare l’intestazione dell’email e controllare le informazioni aggiuntive relative a chi scrive. Le organizzazioni e gli enti scrivono sempre dal proprio dominio, bisogna dunque controllare che corrisponda a quello ufficiale.
  • Verificare se i link contenuti nel messaggio sono sicuri. Molto spesso, nei messaggi di phishing sono presenti pulsanti che rimandano a pagine graficamente molto simili o uguali a quelle di aziende e servizi conosciuti dietro alle quali però si nasconde il responsabile dell’invio dell’email. Si tratta in realtà di pagine fittizie e l’inserimento dei dati nei campi richiesti è il metodo più utilizzato per rubare informazioni sensibili. Per verificare se l’indirizzo web a cui conduce un link è sicuro, è sufficiente avvicinare il puntatore del mouse al link stesso per controllare l’url, in basso alla sinistra del browser. 
  • Esaminare se il messaggio è scritto in modo grossolano. Nonostante i messaggi di phishing siano sempre più accurati nel contenuto e nella forma, molto spesso contengono errori grammaticali o sintattici che possono far insospettire le persone. Errori di ortografia, un cattivo italiano (o inglese) e un linguaggio estremamente semplice sono chiari indizi di una mail di phishing.

Nel dubbio, tuttavia, si può agire in due modi:

  • Controllare la propria area personale. Soprattutto nel caso in cui il messaggio ricevuto sia relativo a pagamenti negati o rinnovo di servizi, prima di cliccare o eseguire le azioni richieste, è bene accedere alla propria area riservata relativa allo stato degli ordini o dei servizi a cui fa menzione il messaggio ricevuto. Se non sono presenti evidenze che possano aver giustificato l’invio del messaggio, si tratta probabilmente di phishing.
  • Verificare con il servizio clienti. Se ancora non si è in grado di capire con certezza se si tratti di una frode o meno, è sempre meglio contattare il servizio clienti dell’azienda a cui l’email sospetta fa riferimento.

Come limitare i danni

Se si è ormai caduti nel tranello, invece, ci sono una serie di operazioni da compiere per limitare i danni, tra queste:

Cambiare la password. Nel caso siano state rivelate credenziali personali relative ai propri accessi su portali online, bisogna cambiare subito la password o chiudere direttamente il proprio profilo prima che gli hacker possano accedervi. 

Contattare il CED aziendale. Qualora l’account sia già stato compromesso e non sia più possibile fare il login con i propri dati, è necessario chiamare l’help desk per ripristinare manualmente i propri dati d’accesso.

Avvisare le aziende o gli enti colpiti. Oltre al recupero dei propri dati personali, è opportuno segnalare l’attacco phishing ai soggetti che ne sono stati colpiti, così da poter prendere provvedimenti e intervenire tempestivamente per fermare la truffa.

[1] Panorama delle minacce ENISA 2020 – Phishing.  Link: https://www.enisa.europa.eu/publications/phishing

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

trattamento dati personali
Gestione dei lavoratori

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

sicurezza dei dati personali
Gli obblighi riguardanti la messa in sicurezza dei dati personali trattati al verificarsi di accessi fisici non autorizzati.
30 Ottobre 2024
𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞
Recepito dall’Italia il 𝐑𝐞𝐠𝐨𝐥𝐚𝐦𝐞𝐧𝐭𝐨 𝐃𝐎𝐑𝐀: 𝐬𝐮𝐥𝐥𝐚 𝐫𝐞𝐬𝐢𝐥𝐢𝐞𝐧𝐳𝐚 𝐨𝐩𝐞𝐫𝐚𝐭𝐢𝐯𝐚 𝐝𝐢𝐠𝐢𝐭𝐚𝐥𝐞
29 Aprile 2025
SICUREZZA INFORMATICA
ENISA – RELAZIONE 2024 SULLO STATO DELLA SICUREZZA INFORMATICA NELL’UNIONE
30 Gennaio 2025

Start typing and press Enter to search