Con oltre 5 miliardi di utenti che popolano la rete è normale ogni tanto imbattersi in qualche truffa, hacker o altro criminale informatico che prova in qualche modo a sottrarci dei dati personali. D’altronde, le informazioni possono essere considerate il bottino più ricercato su Internet: dalle grosse aziende che le usano a fini di marketing fino agli hacker che usano i dati per rubare identità, denaro o semplicemente rivenderli al migliore offerente.
Sfortunatamente poi, la crescita di Internet è stata esponenziale: nel 2012 esistevano poco più di 2 miliardi di persone che usavano la rete, mentre oggi viaggiamo a quota 5 miliardi. Ciò significa che ci sono tantissime persone che, in un modo o nell’altro, si sono ritrovate costrette ad approcciarsi a Internet e i suoi servizi, senza però avere le competenze digitali necessarie per usare il web in sicurezza.
Il nostro paese non naviga in buone acque: sui 27 paesi europei, l’Italia si classifica 25esima per il livello medio di competenze digitali dei suoi cittadini. Una situazione non proprio rosea, che poi ha delle ricadute concrete sugli stessi cittadini che si ritrovano più esposti ai tentativi degli hacker di sottrarre i loro dati, come per esempio gli attacchi di phishing.
Il senso di urgenza del messaggio
Si può considerare il phishing la principale tipologia di attacco informatico: per i malintenzionati è un tipo di attacco estremamente semplice da portare avanti ed è anche molto efficace. Essenzialmente, nel phishing i malintenzionati si fingono di essere un’azienda affidabile oppure una persona che conosciamo.
Sotto mentite spoglie, ci inviano quindi un messaggio: di solito il phishing viaggia via email (viene stimato che ogni giorno vengono inviate 122 miliardi di email di SPAM, fra cui si nasconde il phishing). In altri casi, il phishing ci può arrivare direttamente sul nostro telefonino tramite un SMS (lo smishing) oppure via chiamata telefoncia di un call center (il vishing).
Come ogni truffa, anche il phishing ha degli elementi ricorrenti grazie ai quali lo si può riconoscere. L’indizio principale è il senso di urgenza contenuto nel messaggio che ci arriva. Per esempio, immaginiamoci di ricevere un’email dalla banca che ci comunica di aver bloccato una transazione sospetta e ci chiedono di accedere al conto per controllare il tutto, usando il link presente in email.
Oppure ci arriva un SMS di un corriere che ci informa della consegna di un pacco a breve e ci viene chiesto di cliccare su un link per monitorare la spedizione. Gli esempi possono andare avanti all’infinito: in certi casi sono email dalle Poste o dall’INPS per la pensione, in altri possono essere comunicazioni dai social network che ci chiedono di reimpostare le nostre password.
Indipendentemente da chi fingono di essere, i criminali informatici puntano a creare un senso di urgenza nelle loro comunicazioni. Inoltre, considerato che ormai lo smartphone è uno dei dispositivi digitali che più portiamo con noi, queste finte comunicazioni ci arrivano di solito in momenti quando siamo fuori casa a fare altro, aumentando così il livello di pressione.
Le promesse troppo belle per essere vere
Oltre al senso di urgenza, usato per spingerci ad agire subito senza pensare, di solito le comunicazioni che ci inviano sono molto dirette e risolutive. Riprendendo l’esempio della transazione sospetta sul nostro conto bancario, in casi come questo i malintenzionati invierebbero una breve email, molto generica, dove viene subito richiesto di accedere al conto.
Niente descrizioni dettagliate di cosa è avvenuto, nessun altro link a comunicati stampa emessi dalla banca stessa. Solo qualche riga dove si avverte dell’accaduto e viene fatta la richiesta. Cliccando sul link e accedendo al conto si risolverà tutto il problema, quasi per magia (ad es. sbloccando il conto, riverificando il proprio profilo o qualsiasi altra soluzione si siano inventati nel messaggio).
In altri casi invece, è proprio il contenuto del messaggio inviato a essere “troppo bello per essere vero”. Uno dei casi di phishing più classici è l’email dove ci viene comunicato che abbiamo vinto a una lotteria e ci viene chiesto di cliccare sul link per confermare la vincita. Spostandoci su smartphone invece, sta diventando sempre più comune il tentativo di smishing dove ci arriva un SMS che ci informa di una grossa opportunità di investimento sui titoli azionari di un’azienda famosa, in genere Amazon.
In entrambi i casi, si fa leva sull’aspetto economico della promessa: non si tratta quindi di risolvere un potenziale urgente problema con un click, bensì si parla di vincere qualche somma di denaro, prodotti oppure di guadagnare molti soldi in breve tempo seguendo chissà quali consigli di investimento.
La presenza dei link o dei file allegati
Ogni messaggio che riceviamo ha sempre un solo e unico scopo: farci cliccare su un link presente all’interno oppure convincerci a scaricare un file allegato sul nostro dispositivo. Il motivo di questa richiesta è semplice: cliccando su un link presente in un tentativo di phishing finiremo sicuramente su una pagina malevola, dove tutti i dati inseriti saranno rubati direttamente dagli hacker.
Nei casi peggiori invece, cliccando su quei link si finirà con scaricare un malware sul proprio computer; stesso discorso quando scaricherete un file allegato a un tentativo di phishing: è sicuramente malware, forse addirittura uno dei temuti ransomware. La regola d’oro rimane quella di non cliccare mai su nessun link e non scaricare mai nessun file.
Ovviamente si potrebbe avere dei dubbi sulla veridicità dei messaggi ricevuti: magari la comunicazione urgente che abbiamo ricevuto è stata realmente inviata da chi ce l’ha inviata. Se vi trovate in una situazione del genere, vi suggeriamo innanzitutto di controllare il mittente dell’email. Se la comunicazione è stata spedita, per esempio, dalla vostra banca, allora l’indirizzo email del mittente dovreste già averlo presente fra i vostri contatti (e soprattutto, l’indirizzo email dovrebbe appartenerne alla vostra banca).
Un primo campanello di allarme è quindi se l’indirizzo email non corrisponde all’indirizzo email della vostra banca o se non è presente fra i vostri contatti. Se non riuscite comunque a verificare la veridicità della comunicazione, entrate direttamente in contatto con chi vi ha inviato tale comunicazione.
Per proseguire con l’esempio della banca, potete chiamare direttamente il servizio clienti della banca per chiedere informazioni. Se non conoscete il numero di telefono, chiedete a uno dei vostri conoscenti o familiari di aiutarvi oppure cercatelo semplicemente online su Google (non chiamate eventuali numeri presenti in una sospetta email o SMS di phishing: probabilmente anche quello è un numero finto, gestito direttamente dagli hacker). In casi come questi, basta una chiamata per evitare di cadere in una truffa e perdere i propri dati o addirittura del denaro.