Phishing

Cos'è il phishing?
Il 'Phishing' è una tecnica del cosiddetto 'social engeneering'; il suo nome deriva dal verbo inglese 'to fish' (in italiano 'pescare') e consiste in una truffa informatica ideata per ottenere le informazioni personali e i dati sensibili direttamente dagli utenti. Come i pesci in mare, anche gli utenti della Rete devono prestare molta attenzione alle esche che vengono preparate dai phisher. La principale vittima di questa pesca informatica è chi usufruisce dei servizi di home banking e recentemente anche di e- business (e- Bay, ad esempio).

Un aspetto innocuo
Finora il phishing si è presentato sotto forma di e-mail. Apparentemente inviata dalla propria banca, questa comunicazione avverte di un imprecisato problema tecnico; per risolverlo è necessario collegarsi al sito ed effettuare un nuovo login. Per agevolare quest'operazione nella e-mail è già inserito un link al sito della banca; l'utente può così effettuare velocemente l'inserimento dei suoi dati sensibili (user- Id e password, ad esempio). Se si seguono tutti questi passaggi significa che l'esca ha funzionato e tutte le informazioni dell'utente saranno 'pescate'.

Cosa accade realmente?
Per un pirata informatico costruire una pagina simile ad una già esistente, come ad esempio quella di un home banking, è molto semplice. Cliccando il link riportato nella e-mail l'utente viene solo apparentemente trasportato nel sito della propria banca, mentre quella pagina nasconde in realtà un indirizzo diverso. I dati sensibili che l'utente immette vengono quindi memorizzati su un altro server e utilizzati dal phisher, che accederà così ai suoi servizi bancari e al suo conto corrente (o nel caso dell'e-businness alla carta di credito).

Non abboccare è semplice
Il phishing induce l'utente a cadere in trappola, perché la sua semplicità rende il trucco insospettabile. Per evitare di trovarsi impigliati in questa rete è sufficiente essere molto scrupolosi e seguire questi semplici consigli:
  • gli istituti bancari e le aziende di e-businness non richiedono mai informazioni personali tramite e-mail. Nel caso in cui sorga il dubbio che la mail sia vera, prima di inserire qualsiasi dato è opportuno contattare la banca telefonicamente e chiedere conferma a riguardo.
  • non utilizzare mai il collegamento contenuto nella e-mail. Per visitare il sito web della vostra banca digitare sempre l'indirizzo URL (ad esempio www.carilo.it) nella barra degli indirizzi. Posizionando il mouse sul link verso cui il messaggio ci invita a recarci, senza cliccare, potremmo osservare sulla barra di navigazione il nome dell'indirizzo verso il quale ci condurrebbe il collegamento. Leggendo attentamente quell'indirizzo ci accorgeremmo che non corrisponde affatto a quello della nostra banca, ma magari si differenzia da esso solamente per l'aggiunta o l'assenza di una lettera.
  • Esaminare regolarmente i rendiconti bancari e quelli della carta di credito, in modo da accorgersi prontamente di un qualsiasi spostamento sospetto. Nel caso si ritenga di essere vittime di una truffa, contattare immediatamente la Polizia Postale e l'ufficio preposto della vostra banca.
Una truffa in crescita
Il fenomeno del phishing è in continuo aumento. Per tentare di controllare questa espansione è stata creata una mappa interattiva, continuamente aggiornata, che fornisce indicazione di tutti i pericoli che arrivano da Internet.