Come proteggersi dagli attacchi phishing: i consigli del Garante

Gli attacchi phishing rappresentano una delle truffe telematiche più diffuse, ed è per questo che diventa fondamentale capire come riconoscerli e come potersi proteggere, per prevenire i rischi.

Il Garante Privacy ha fornito alcuni suggerimenti per fare attenzione ai "pescatori" di dati personali. Vediamo, in questo articolo, cos'è un attacco phishing e quali accorgimenti possono essere utili.

Cosa sono gli attacchi phishing

Il phishing è una tecnica illecita che ha l'obiettivo di rubare informazioni riservate e dati personali, con i quali il cyber criminale può compiere azioni fraudolente.

Alcuni esempi possono essere password, numeri di conto corrente, dati del bancomat o della carta di credito, PIN e codici di accesso. A seconda del tipo di dato rubato, il ladro può sottrarre direttamente il denaro alla vittima (prelevandolo dal suo conto o facendo acquisti a sue spese), oppure utilizzare i dati personali per compiere reati a nome della persona truffata.

Lo strumento più comune, utilizzato per un attacco phishing, è soprattutto l'e-mail, ma spesso questa truffa può verificarsi anche tramite SMS, social media e chat. Le modalità sono comunque sempre le stesse: il "ladro di identità" invia una comunicazione presentandosi come un soggetto autorevole (una banca, un ente pubblico, un gestore di carte di credito, ecc) e invitando l'utente a fornire i propri dati personali. Utilizzando delle esche quali:

• risoluzione di particolari problemi tecnici;
• cambiamenti di condizioni contrattuali, da accettare;
• gestione di pratiche di rimborso fiscale;
• accettazione di un'offerta promozionale;
• ecc.

I messaggi di phishing, di solito, possono invitare a fornire direttamente i propri dati personali, oppure a cliccare su un link che rimanda ad una pagina web con il form da compilare. Queste pagine vengono create in modo da riprodurre (quasi) fedelmente il portale ufficiale di una specifica banca, di una piattaforma social o di altre organizzazioni attendibili.

Così, l'utente viene tratto in inganno e finisce con il comunicare dati sensibili alle persone sbagliate.

Attacchi phishing: quali dati stai comunicando? E a chi?

Per prima cosa, è importante ricordare che realtà come banche, enti pubblici, aziende e grandi catene di vendita non richiedono mai informazioni personali via e-mail, messaggio, chat o social.

Dunque, il fatto di ricevere, tramite questi canali, richieste di invio di dati sensibili - in particolare quelli di tipo bancario - già rappresenta un grande campanello d'allarme.

Ricorda: il buonsenso prima di tutto. Se ricevi un messaggio sospetto, non cliccare sui link che riporta e non aprire eventuali allegati. Questi ultimi potrebbero includere virus o "trojan horse", in grado di assumere il controllo del tuo smartphone o del tuo pc. Nomi di siti all'apparenza sicuri, o url abbreviate che si trovano sui social media, possono nascondere collegamenti a contenuti non sicuri.

Un'accortezza utile, valida in particolare da computer, è quella di posizionare il puntatore del mouse sopra al link sospetto, senza cliccarlo: in basso a sinistra, nel browser, sarà possibile vedere in anteprima l'url completa del sito sul quale si verrà eventualmente indirizzati, per capire se è affidabile o meno.

Fai attenzione agli indirizzi e installa un antivirus che ti protegga dal phishing

Come abbiamo anticipato, i messaggi di phishing possono utilizzare imitazioni realistiche di pagine web o loghi di banche, enti ed aziende realmente esistenti e ritenute affidabili.

Tuttavia, a un esame più accorto, capita spesso che questi testi contengano gravi errori grammaticali, di formattazione o di traduzione da altre lingue: un segnale che la fonte non è probabilmente quella autentica. Presta attenzione, inoltre, anche a:

• mittente dell'e-mail: potrebbe avere un nome vistosamente strano o eccentrico;
• indirizzo di posta elettronica: spesso si tratta di un'evidente imitazione di un brand reale.

In ogni caso, installare e aggiornare costantemente un programma antivirus che protegga anche dal phishing (su pc e smartphone) è importante. Così come verificare le impostazioni dei filtri della propria posta elettronica, in modo che la maggior parte dei messaggi di phishing vengano riconosciuti in automatico come spam.

Altre buone pratiche per difendersi dagli attacchi phishing sono:

• diffidare dei messaggi con toni intimidatori (ad esempio, che minacciano la chiusura del conto bancario o sanzioni in caso di mancata risposta immediata);
• non memorizzare dati personali e codici di accesso nei browser usati per la navigazione online;
• impostare password alfanumeriche complesse, cambiandole spesso e facendo in modo che siano diverse per ogni servizio utilizzato (e-mail, social, banca online, ecc.).

Attacchi phishing: acquisti online sicuri e sistemi di alert

Tra i consigli del Garante Privacy contro possibili attacchi phishing, trova spazio anche il mondo degli acquisti online.

Infatti, viene indicato come metodo più prudente quello di utilizzare carte di credito prepagate o altri sistemi di pagamento che permettano di evitare la condivisione di dati del conto bancario o della carta di credito.

Oltre a controllare spesso le movimentazioni, per avere sotto controllo ogni segnale sospetto, è bene anche attivare sistemi di alert automatico, che avvisino l'utente per ogni operazione effettuata.

In generale, la protezione dei dati personali degli utenti è un tema sempre molto caldo per aziende e organizzazioni, che sono tenute a mettere in atto procedure e misure idonee a prevenire e limitare al minimo il rischio di eventuali data breach.

Se vuoi tutelare la tua attività e la privacy di dipendenti, clienti e fornitori, organizzando un piano di gestione della sicurezza dei dati efficace (secondo quanto previsto dal GDPR), contattaci senza impegno per richiedere la consulenza di un nostro esperto.

 

Scritto da: Marco Inama Socio fondatore di Studio Essepi, RSPP e consulente esperto in ambito sicurezza e sistemi di gestione, appassionato di golf.