Pagina iniziale Navigazione Contenuto Contatti Sitemap Cerca

Phi­shing

Per mezzo del phi­shing i malin­ten­zio­nati cer­cano di car­pire i dati d’accesso di ignari utenti Internet, p. es. per acce­dere ai por­tali di e-ban­king o agli shop online. I cri­mi­nali dis­si­mu­lano una falsa iden­tità e sfrut­tano così la buona fede delle loro vit­time.

Pro­teg­ge­tevi dal phi­shing così:

  • Non uti­liz­zate mai un link rice­vuto via e-mail, SMS o ser­vizio di mes­sag­gi­stica o scan­sio­nato tra­mite codice QR per acce­dere a un isti­tuto finan­ziario.
  • Non com­pi­late mai i moduli rice­vuti via e-mail che chie­dono di inse­rire i dati d’accesso.
  • Gestire con grande pru­denza gli alle­gati delle e-mail e dei ser­vizi di mes­sag­gi­stica breve.
  • Durante le tele­fo­nate non comu­ni­cate mai infor­ma­zioni riser­vate come le pas­sword.
  • Inse­rite l’indirizzo della pagina di accesso del vostro for­ni­tore di ser­vizi online o isti­tuto finan­ziario sempre manual­mente, nella barra degli indi­rizzi del browser.
  • Quando aprite la pagina di accesso, veri­fi­cate che la con­nes­sione sia SSL (https://, icona a forma di luc­chetto) e assi­cu­ra­tevi di tro­varvi sulla pagina desi­de­rata con­trol­lando l’indirizzo Internet nella barra degli indi­rizzi del browser.
  • In caso di incer­tezze o dubbi rivol­ge­tevi al vostro isti­tuto finan­ziario.

Come fun­ziona un attacco di phi­shing tipico

1. Con­tatto

I cri­mi­nali inviano e-mail fal­si­fi­cate spac­cian­dosi per dipen­denti di for­ni­tori di ser­vizi online o isti­tuti finan­ziari. Ai desti­na­tari delle e-mail, per esempio, viene segna­lato che i dati del conto o le cre­den­ziali d’accesso (p. es. nome utente e pas­sword) non sono più sicuri o aggior­nati e vanno cor­retti clic­cando sul link con­te­nuto nell’e-mail.

2. Inter­cet­ta­zione dei dati per­so­nali

Tut­tavia, il link non apre la pagina ori­gi­nale del for­ni­tore di ser­vizi indi­cato, ma una pagina Internet con­traf­fatta che però sembra ori­gi­nale. Le infor­ma­zioni per­so­nali che ven­gono inse­rite su questo sito, come le pas­sword, arri­vano diret­ta­mente ai cri­mi­nali.

3. Arric­chi­mento

I cri­mi­nali uti­liz­zano quindi le infor­ma­zioni rubate per effet­tuare, a nome delle vit­time, tra­sfe­ri­menti ban­cari, acquisti online od offerte false sui siti delle case d’aste online.

 

Per inviarvi e-mail di phi­shing, i truf­fa­tori devono cono­scere il vostro indi­rizzo e-mail. Per ridurre questo rischio e in gene­rale anche l’afflusso dello spam nella vostra posta in arrivo, è utile seguire alcune sem­plici regole che potete tro­vare nel nostro arti­colo sullo spam.

Per «phi­shing» si intende il furto di infor­ma­zioni pre­ziose, come le cre­den­ziali d’accesso di utenti Internet.

Il ter­mine è una parola inglese inven­tata sulla base di «pas­sword» e «fishing».

 

Pro­me­moria:

Mag­giori infor­ma­zioni

Phi­shing clas­sico

Nel phi­shing clas­sico i malin­ten­zio­nati cer­cano di atti­rare le loro vit­time su siti fal­si­fi­cati per mezzo di e-mail con­traf­fatte, spin­gen­dole così a inse­rire le loro cre­den­ziali d’accesso (come il numero di con­tratto o la pas­sword) su queste pagine.

In alter­na­tiva o in aggiunta a questo, spesso ven­gono inviati via e-mail degli alle­gati con­te­nenti cavalli di Troia che una volta aperti si instal­lano in back­ground e da quel momento in poi spiano i dati d’accesso dell’utente Internet o lo por­tano su siti Internet con­traf­fatti.

È impor­tante sapere che gli isti­tuti finan­ziari non inviano mai mes­saggi di questo tipo!

Pre­ven­zione: non fare clic su nessun link o alle­gato di un’e-mail, ma inse­rire sempre l’indirizzo dell’istituto finan­ziario manual­mente nel browser. Veri­fica della con­nes­sione SSL e del cer­ti­fi­cato.

Spear phi­shing e dyna­mite phi­shing

Diver­sa­mente dal phi­shing clas­sico, con il quale si inviano grandi quan­tità di e-mail a un numero enorme e indi­scri­mi­nato di desti­na­tari, lo spear phi­shing sele­ziona i desti­na­tari in modo mirato e invia mes­saggi per­so­na­liz­zati.

Il mit­tente si spaccia per una per­sona affi­da­bile, spesso un cono­scente, col­la­bo­ra­tore o partner com­mer­ciale del desti­na­tario. Il con­te­nuto delle e-mail per­so­na­liz­zate ha un aspetto cre­di­bile e auten­tico e quindi spesso non viene rico­no­sciuto dai filtri anti­spam.

Se le e-mail per­so­na­liz­zate ven­gono create auto­ma­ti­ca­mente e inviate in massa, si parla anche di «dyna­mite phi­shing».

Pre­ven­zione: siate dif­fi­denti quando rice­vete delle e-mail inat­tese o dal con­te­nuto inso­lito, anche se pen­sate di cono­scere il mit­tente. In caso di dubbio con­tat­tate il mit­tente usando un canale diverso, p. es. il tele­fono.

Smi­shing (phi­shing via SMS)

Anche i mes­saggi SMS ven­gono usati sempre di più per sfer­rare attacchi di phi­shing. Il lato più per­fido dello «smi­shing» è che con i mes­saggi SMS non è pos­si­bile appli­care la mag­gior parte dei cri­teri utili per rico­no­scere le e-mail di phi­shing. Per esempio, è molto raro leg­gere un appel­la­tivo per­so­nale. Il lin­guaggio e la strut­tura dei mes­saggi di testo sono troppo sem­plici e con­cisi per per­met­tere di tro­vare segnali di un’eventuale con­traf­fa­zione. E con la mag­gior parte dei dispo­si­tivi mobili è dif­fi­cile se non impos­si­bile veri­fi­care chi sia il vero mit­tente e quale la desti­na­zione del link. Oltre a questo, molti utenti sono abi­tuati a rice­vere mes­saggi SMS per veri­fi­care il pro­prio accesso all’e-banking o vali­dare tran­sa­zioni finan­ziarie.

Pre­ven­zione: non fate mai clic sui link con­te­nuti nei mes­saggi SMS, ma digi­tate manual­mente nel browser l’indirizzo noto del sito Internet dell’istituto finan­ziario con­trol­lando che la con­nes­sione sia sicura (icona a forma di luc­chetto, indi­rizzo di desti­na­zione). Se rice­vete mes­saggi SMS inat­tesi, con­tat­tate la banca ai reca­piti che cono­scete (p. es. al numero di tele­fono uffi­ciale) e chie­dete con­ferma dell’invio del mes­saggio.

Vishing (voice phi­shing)

Il vishing è la variante orale o tele­fo­nica del phi­shing. Come nel phi­shing clas­sico gli utenti ven­gono indotti mediante storie ben con­ge­gnate a con­di­vi­dere infor­ma­zioni riser­vate come i dati di accesso al sistema di e-ban­king.

Pre­ven­zione: non comu­ni­cate mai a un’altra per­sona dati riser­vati come le pas­sword. Inter­rom­pete subito le tele­fo­nate in cui vi chie­dono questi dati. Per con­tat­tare il vostro isti­tuto finan­ziario uti­liz­zate esclu­si­va­mente i numeri di tele­fono uffi­ciali.

Phi­shing QR

Nel phi­shing QR i malin­ten­zio­nati incol­lano i propri codici QR (Quick Response Codes) sopra ad altri codici ubi­cati in luoghi molto fre­quen­tati con­du­cendo così gli utenti a un indi­rizzo URL sba­gliato. Questo per­mette loro, soprat­tutto su dispo­si­tivi mobili, di avviare imme­dia­ta­mente dei down­load, ese­guire degli script o aprire una pagina con­traf­fatta per l’accesso a un isti­tuto finan­ziario.

Pre­ven­zione: non uti­liz­zate mai un codice QR per acce­dere a un isti­tuto finan­ziario. Prima di scan­sio­nare un codice QR veri­fi­cate che non sia stato coperto da un codice con­traf­fatto. Con­trol­late che il link apra l’indirizzo desi­de­rato.

Phi­shing con pagine Internet in alle­gato

Quando il phi­shing avviene tra­mite pagine Internet, nelle e-mail non si tro­vano né link né docu­menti, ma piut­tosto una pagina Web con­traf­fatta alle­gata come file HTM o HTML. La vit­tima viene tratta in inganno dal fatto che non ci sia più un link da clic­care. Oltre a questo, anche aprire il file alle­gato sembra non com­por­tare par­ti­co­lari rischi, visto che non si tratta di un docu­mento (Word, Excel ecc.) che potrebbe ese­guire macro, ad esempio.

Atten­zione però! I file HTM e HTML pos­sono rein­di­riz­zare la vit­tima diret­ta­mente al server del malin­ten­zio­nato! Le cre­den­ziali inse­rite, quindi, fini­reb­bero nelle mani sba­gliate. Inoltre, in quei file si potreb­bero tro­vare anche script capaci di cau­sare ulte­riori danni.

Nei moderni pro­grammi di posta elet­tro­nica, tali rein­di­riz­za­menti e script ven­gono bloc­cati per motivi di sicu­rezza. Tut­tavia, quando si apre un alle­gato HTM o HTML la pagina Internet esce dal con­trollo delle impo­sta­zioni di sicu­rezza di tali pro­grammi. La per­fidia più insi­diosa è che ven­gono ingan­nati anche gli utenti più sen­si­bi­liz­zati, perché nella barra degli indi­rizzi del browser com­pare «solo» un per­corso file locale e non un URL sospetto, come avviene con il phi­shing clas­sico.

Pre­ven­zione: in gene­rale, trat­tate con scet­ti­cismo gli alle­gati HTM e HTML. Non fate clic sugli alle­gati delle e-mail, ma inse­rite sempre manual­mente l’indirizzo dell’istituto finan­ziario nel browser.

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corsi di for­ma­zione di base

Il corso di base pre­senta le minacce attuali poste da Internet e mostra come pro­teg­gersi con alcuni sem­plici prov­ve­di­menti.

mag­giori infor­ma­zioni

Corsi pra­tici

Eser­ci­ta­tevi ai nostri com­puter e sco­prite i prin­ci­pali prov­ve­di­menti per la vostra sicu­rezza infor­ma­tica e nell’e-banking.

mag­giori infor­ma­zioni

Send this to a friend