Ebbene sì siamo tutti soggetti ad abboccare all’amo dei malintenzionati del phishing, ovvero un tipo di truffa effettuata su Internet attraverso la quale si cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

Messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi, ma anche sms, messaggi su messanger, skype o whats’app che richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio.

Chi accede a queste informazioni estorte con l’inganno è come se vi rubasse le chiavi di casa.

Ecco cosa può succedere:

  1. Il phisher spedisce a  un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito a cui è iscritto).
  2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito , la scadenza dell’account, ecc.)
  3. l’e-mail invita il destinatario a seguire un link, presente nel messaggio (Fake login).
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

Ma come ci si può proteggere dagli attacchi di phishing?

Per prima cosa bisogna fare attenzione che i siti visitati siano autentici.

In caso di email con richiesta di dati personali, numeri di conto, password o carta di credito, fare uno screenshot (foto al monitor), in modo che possano prendere ulteriori disposizioni contro il sito falso.

Tenere sempre sotto controllo i movimenti della carta di credito e del conto corrente.

Si possono verificare i movimenti dall’estratto conto dal Bancomat o dal proprio conto corrente on-line. Molti istituti offrono un servizio di SMS alert, più efficace, perché notifica il movimento non appena viene effettuato, non quando avviene la sua registrazione, che può essere a distanza di diversi giorni. Il messaggio parte in tempo reale quando è effettuato il movimento (non alla data di registrazione, quindi anche quando questo non è ancora visibile nell’estratto conto).

In questi casi infatti la velocità è tutto, prima ci si accorge della truffa, prima ci si attiva per mettere in moto il meccanismo utile a fermarla, bloccando bancomat e carte di credito, prima di effettuare regolare denuncia e chiedere il risarcimento per pagamenti non autorizzati.