Il mondo dei cyberattacchi è diventato sempre più sofisticato: sempre più virus informatici attentano quotidianamente ai dati contenuti nei nostri pc e in quelli delle nostre aziende.
I database fanno molta gola ai criminali 2.0, dal momento che appropriarsi in maniera fraudolenta di grandi quantità di dati personali di dipendenti, fornitori e clienti permette dei guadagni da capogiro con relativa poca fatica, semplicemente acquisendo queste informazioni in maniera illecita e rivendendole o richiedendo un riscatto per rilasciarle al legittimo proprietario.
Queste due tecniche di furto digitale spesso utilizzano la stessa “porta d’entrata” alle aziende, ovvero delle mail che inducono il destinatario a cliccare su un link e a fornire dei dati per svariate motivazioni. Questo metodo prende il nome di phishing (derivato dall’inglese “fishing”, ovvero “pescare”, perché questi attacchi vengono condotti su larghissima scala e si basano sostanzialmente sul numero delle persone che “abboccano”) e costituisce uno dei principali pericoli per la sicurezza di aziende e privati. A differenza dei comuni virus, infatti, non c’è modo di proteggersi dal phishing installando delle protezioni esterne: antivirus e firewall, per quanto nuovi e aggiornati, funzionano sempre fino a un certo punto. La vera e unica arma di difesa efficace è l’utente che conosca il problema e sappia evitarlo.
Come si riconosce un messaggio phishing? Non c’è una sola risposta. Negli ultimi anni le tecniche si sono affinate talmente tanto che anche per i più esperti è difficile riconoscere una mail autentica da una fraudolenta, soprattutto da quando le richieste di dati si sono spostate dal corpo del messaggio agli allegati, per eludere i filtri antispam dei client più diffusi. Ma difendersi dal phishing non è impossibile, basta avere un occhio allenato.
Innanzitutto, fare sempre molta attenzione al mittente: teniamo presente che un attacco phishing consiste in un invio massivo e che i messaggi vengono destinati a milioni di indirizzi mail contemporaneamente, per cui se ricevete richieste di conferma dati da parte di banche, compagnie telefoniche, finanziarie o altre società con cui non avete e non avete mai avuto alcun rapporto è molto probabile che sia una truffa. Cestinate immediatamente senza rispondere.
Leggete attentamente il testo: sempre perché il messaggio deve raggiungere milioni di persone in tutto il mondo in breve tempo, il testo è spesso in inglese o in italiano molto approssimativo o pieno di errori (tipicamente tradotto con Google Translate). In questo caso, anche se conoscete il mittente, insospettitevi. Prestate attenzione anche al contenuto delle richieste: si tratta sempre di immettere i vostri dati personali, a volte dietro promessa di un premio, altre sotto minaccia di multe, sanzioni o decadenza di servizi: sappiate che i veri preposti a chiedere i dati dei propri clienti non lo fanno assolutamente via mail.
Se sia mittente che testo sembrano genuini, c’è un terzo elemento da controllare, ovvero il link presente nell'allegato o nel corpo del messaggio. Per raccogliere i dati, vi viene sempre chiesto di cliccare su un link: a volte è palesemente falso (troppo lungo, con termini che non c’entrano niente, estensioni diverse dalle solite), altre invece è alterato per non farlo riconoscere immediatamente. In questi casi ci vengono in aiuto siti come isitphishing.ai dove potete immettere l’indirizzo su cui vogliono farvi andare e, attraverso il tasto check, potete sapere immediatamente se il sito è genuino o no.
In generale, vale sempre fare un secondo controllo contattando il mittente della mail direttamente e chiedendo informazioni sui dati richiesti, soprattutto se si tratta di persona o ente conosciuto e plausibile. Per questo motivo nessun programma automatico potrà mai difendervi adeguatamente, perché la componente di interazione umana resta fondamentale e non simulabile in alcun modo.