Difendersi dal phishing

Strana e-mail da banche e servizi online? Potrebbe trattarsi di tentativi di truffa. Ecco alcune dritte per scongiurare il pericolo e smascherare i malfattori

Il Phishing è un termine col quale viene identificato un particolare tipo di e-mail indirizzata a una lista di ignari utenti per carpire i loro dati sensibili. L'inganno viene perpetrato attraverso un messaggio della propria banca, piuttosto che di PayPal o Amazon, che chiede alla vittima di cliccare su un link usando come pretesto un fantomatico problema: sono tipici, ad esempio, i messaggi "c'è stato un problema col tuo ordine Amazon, clicca qui e immetti le tue informazioni personali per accedere" oppure "abbiamo riscontrato un accesso non autorizzato nel tuo conto PayPal, clicca qui per cambiare la tua password". Naturalmente il link non conduce affatto al sito in questione, ma su una pagina sviluppata dai truffatori che imita quella del servizio originale in modo da ingannare gli utenti più sprovveduti.

Trappole ben congeniate
Purtroppo, nonostante le raccomandazioni di banche e istituti di credito di diffidare delle e-mail che richiedono dati sensibili, un numero imprevedibilmente alto di utenti continua a cascare nella trappola del phishing. Fermo restando che la più efficace delle soluzioni è quella di non fidarsi mai di e-mail sospette e di fare sempre attenzione all'aspetto del sito: i siti phishing hanno di frequente layout di pagina sgangherati, con immagini che mancano e loghi a bassa risoluzione.

Chi vuole tutelarsi in maniera efficace può servirsi di alcuni utili strumenti, tra cui un servizio on-line chiamato URLQuery che non fa altro che interrogare l'indirizzo Internet contenuto nell'e-mail truffa per smascherare ogni aspetto di quest'ultimo (come ad esempio l'eventuale presenza di malware), nonché il suo indirizzo IP, la nazione di provenienza e molti altri dati utili a convincerci in maniera indiscutibile di non fidarci.
Se abbiamo ricevuto un'email sospetta, clicchiamo col tasto destro sul collegamento in essa riportato e dal menu contestuale scegliamo la voce Copia indirizzo link. Raggiungiamo il sito di URLQuerye incolliamo il link nel campo Profile URL: con ogni probabilità il contenuto del link sarà diverso da quello che ci si aspetta.


Clicchiamo sul tasto Go accanto al campo Profile URL e attendiamo l'analisi del sito sospetto. Nella pagina successiva prestiamo attenzione al campo ASN che indica la rete alla quale appartiene il sito incriminato: il dato è già sufficiente a comprendere se si tratta di phishing.


Se come browser usiamo Chrome, Firefox o Opera possiamo installare l'estensione Netcraft per mettere al sicuro la navigazione sul Web proteggendo i nostri dati personali.

Nel caso di Chrome, ad esempio, colleghiamoci col browser Google all'apposita pagina del Chrome Web Store e clicchiamo sul pulsante AGGIUNGI in alto a destra. Attendiamo il download del file e, al termine, verifichiamo che l'icona di Netcraft venga aggiunga nel pannello dove sono presenti le altre estensioni di Chrome.


Clicchiamo col tasto destro sull'icona di Netcraft e scegliamo la voce Opzioni. Nella schermata che appare inseriamo il nostro nominativo che sarà utilizzato nell'invio delle segnalazioni di phishing, quindi attiviamo o disattiviamo le tre funzionalità base dell'estensione.


Durante la navigazione clicchiamo sull'icona di Netcraft per verificare la provenienza del sito (Country), il suo posizionamento (Rank), la prima volta in cui è stato "avvistato" on-line (First Seen) e infine la rete alla quale si appoggia (Host). Già da queste informazioni possiamo valutarne l'attendibilità.


Nel caso in cui il sito sia già stato segnalato come non attendibile, la navigazione verrà interrotta. Potremo usufruire dei due pulsanti presenti nella schermata di Netcraft per segnalare rispettivamente un errore (Report mistake) o per continuare a navigare nel sito (Visit anyway) a nostro rischio e pericolo.


Se siamo sicuri di aver scoperto un sito truffa, e segnaliamolo a Big G inserendo l'URL sospetta nel relativo campo di testo del modulo Google, indicando nel box dei Commenti perché riteniamo che si tratti di phishing.


Occhio all'URL del browser
Chi non usa tool come quelli descritti può comunque tutelarsi, ma deve prestare la massima attenzione. A volte, i siti usati per attacchi di tipo phishing riproducono esattamente la grafica di quelli originali e anche gli utenti più accorti potrebbero facilmente cadere nella trappola, che scatta non appena ci si logga inserendo i dati di accesso. Il più delle volte viene richiesto anche il numero di carta di credito, aumentando i rischi derivanti dalla truffa. In casi come questi, il solo indizio utile che ci permette di capire se ci troviamo in presenza di un tentativo di truffa è l'indirizzo del sito che possiamo leggere in alto, nella finestra del browser: il più delle volte si tratta di URL lunghissime con domini che non appartengono alla nostra banca o all'istituto di credito (o che ne richiamano il nome in modo sospetto nel link).

Al sicuro col mobile
Su smartphone e tablet Android ci si può proteggere dalle truffe con la suite ESET Mobile Security, che offre protezione dai tentativi di acquisizione di informazioni personali e dati sensibili (password, dettagli dell'account, numeri della carta di credito) da siti web apparentemente attendibili.
Sui dispositivi iOS, invece, l'operazione è ancora più semplice in quanto basta avviare il browser Safari, raggiungere le Impostazioni e attivare l'opzione Avviso sito Web fraudolento.

Notizie collegate
  • SicurezzaGoogle: chi abbocca al phishing?I cacciatori di account agiscono in maniera organizzata e efficace, rivela uno studio, e i cittadini della Rete che si lasciano ingannare sono ancora numerosi
  • AttualitàMailbox italiane bombardate dal phishingUna gang ha appena finito di spammare gli italiani con un messaggio fasullo su Bancoposta e subito ci riprova con un messaggio su Visa. Ed è un genere di phishing più pericoloso. Più diffidenza verso gli acquisti online?
  • AttualitàItalia, prima condanna per phishingDue truffatori avevano predisposto una rete di conti bancari e di complici residenti in Italia, spesso vittime a loro volta, per riciclare all'estero il frutto di numerose frodi. Per loro una sentenza pesante