Il phishing, la truffa online più diffusa

Che cosa è il phishing?

Il phishing (si pronuncia fìscing) è una truffa online che, quasi sempre, inizia con una e-mail inviata con lo scopo di ingannare l’utente per indurlo a fornire informazioni sensibili quali password, pin e numeri di carte di credito.

Scopo di questo articolo è capire meglio cos’è il phishing, se si è oggetto di un attacco di phishing e come proteggersi.

Quante volte riceviamo e-mail apparentemente provenienti dal nostro istituto di credito o da altra società di servizi a noi nota (solito mittente, stesso logo), oppure da agenzie governative come Equitalia e Agenzia delle Entrate o ancora e-mail da un sito di e-commerce noto ed affidabile come Amazon con cui veniamo avvisati di problemi tecnici o di verifiche che devono essere effettuate, con l’invito a cliccare sul link incluso nel corpo della e-mail  e che rimanda a una esatta copia del sito originale, dove ci viene chiesto di inserire i dati personali e riservati (come ad esempio numero di carta di credito o di conti correnti bancari, password di accesso al servizio di home banking, nome utente, pin, codice fiscale etc.)?

Oppure ci arriva una e-mail in cui si comunica che l’account è bloccato con invito a cliccare sul link indicato, per verificare i nostri dati?

Ancora più paradossalmente accade che nella e-mail che riceviamo sia lo stesso phisher (o truffatore) che ci mette in guardia dal fornire i nostri dati personali attraverso la e-mail o il telefono e contemporaneamente ci invita ad entrare nel sito cliccando sul link incluso dove inseriremo i nostri dati personali. Es. ci arriva una e-mail con cui si comunica di fare attenzione alle richieste da parte di enti e istituti noti come la propria banca o Poste Italiane, di fornire i nostri dati personali, numeri di carte di credito e password, chiedendoci poi cliccare sul link incluso per avvisarci?

Negli ultimi anni, tali condotte si stanno intensificando anche attraverso gli smartphone ed i social network come Facebook.

Così ci arrivano post dai nostri contatti (amici) che ci segnalano svendite particolarmente convenienti su siti di e-commerce o link a siti su cui poter fare ottimi affari (es. Investimenti di piccoli importi, per guadagnare ingenti somme in poco tempo).

O ancora ci arrivano messaggi di testo (SMS) che contengono un link da cliccare o un numero da chiamare. In tale ultimo caso si configura una particolare forma di phishing detta smishing e lo scenario tipico è quello del messaggio che sembra pervenire dal proprio istituto bancario che afferma che il nostro account è stato compromesso e quindi è necessaria una risposta immediata. Anche in questo caso l’attaccante è un truffatore che chiede di verificare il numero di c/c bancario, la password, il codice fiscale etc.

In tutti i casi suddetti lo scopo del phishing è quello di ottenere i dati dell’utente, quasi sempre dirottandolo su un sito allestito ad hoc.

Ebbene in tali circostanze siamo difronte ad una vera e propria truffa “online” attraverso cui un soggetto (detto phisher), fingendosi un ente conosciuto ed affidabile, cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici segreti per ottenere l’accesso ai sistemi di home banking ovvero a conti correnti e servizi online al fine di disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari.

Come capire se si è sotto attacco?

1. I messaggi spesso sono generici (non fanno riferimento al nostro nome, cognome ma a formule del tipo: gentile utente, gentile cliente etc);
2. i messaggi sono scritti in un italiano scorretto;
3. i link inclusi sono simili a quelli veri ma ad una attenta lettura ci si rende conto che non rinviano al sito istituzionale (es. amazon.it) ma a siti con nomi simili (es. poste.goweb.ru oppure amazzon.it);
4. il mittente ha un indirizzo di posta pubblico (es. un indirizzo su gmail.com tipo clienti.bancaditalia@gmail.com)
5. L’e-mail ha per argomento un conto sospeso, la comunicazione di una sospensione o blocco di un account, dei rimborsi fiscali, una vincita, una conferma ordine, il ritiro di un pacco…

Come proteggersi dal phishing e dai virus in genere.

• Per prima cosa bisogna avere un computer sempre aggiornato ed un buon antivirus anch’esso regolarmente aggiornato;
• In secondo luogo bisogna evitare di cliccare sul link. Per comprendere se ci stanno inviando su una pagina fittizia basterà spostare il cursore del nostro mouse sul link e, senza cliccarci sopra, guardare con attenzione l’URL (indirizzo del sito web) che, generalmente, appare in basso a sinistra.
  Per controllare l’URL su un dispositivo mobile, premi a lungo sul link con il dito.
• Infine non bisogna rispondere a e-mail sospette.

(clicca per ingrandire l’immagine)

I rischi del phishing

Se per errore si clicca sul link ricevuto i rischi sono due: 

1. la pagina a cui si viene indirizzati potrebbe cercare di installare in automatico del software malevolo nel nostro computer. In tal caso solo un antivirus aggiornato sarà in grado, comunque, di difenderci;
2. il sito su cui si viene indirizzati è una copia esatta del sito istituzionale. In questo caso ancora non è successo niente: basterà, infatti, leggere con attenzione l’URL (cioè l’indirizzo del sito su cui siamo stati inviati) per accorgerci che non è quello vero perché riporta dati dati simili ma inesatti come in figura. Ovviamente non vanno inseriti i nostri dati, altrimenti li daremo direttamente al truffatore.

(clicca per ingrandire l’immagine)

Cosa fare se hai fornito i tuoi dati?

Innanzitutto è necessario cambiare la password dell’account compromesso. Se questo non dovesse essere possibile bisognerà contattare l’assistenza clienti per effettuare un ripristino manuale della password.

Se i dati forniti sono informazioni di credito (bancomat, carta di credito, numero di conto corrente, pin, ecc.) è importante rivolgersi subito al relativo istituto di credito così da prevenire addebiti illeciti.

E’ evidente che se la password compromessa è in uso su altri siti web e servizi andrà, in via precauzionale, sostituita  dappertutto.

Il phishing –  Illecito penale  e civile

Tale fenomeno in continua evoluzione per le dimensioni infinite della rete internet non è disciplinato, nel nostro ordinamento, da alcuna legge ad hoc ma è di volta in volta connesso a fattispecie che rientrano nell’alveo sia del diritto civile sia del diritto penale.

Così il phishing configurerà fattispecie criminose sotto vari profili (dalla truffa, alla frode informatica, alla violazione delle norme sulla privacy e trattamento illecito dei dati) e per le quali è possibile una tutela in sede civilistica, trattandosi di illecito extracontrattuale da cui scaturisce la possibilità per la vittima di esigere il risarcimento dei danni,  patrimoniali e non.

Anche i soggetti che collaborano con consapevolezza (dolo eventuale) all’attività criminale del phisher, attraverso il trasferimento delle somme indebitamente prelevate, sono puniti per i delitti di ricettazione ex art 648 c.p. e riciclaggio ex art 648 bis c.p.,.

Ogni tentativo di phishing andrebbe segnalato alle autorità competenti (polizia postale, carabinieri etc.).

Servizi online per la segnalazione del phishing

• Polizia Postale: Segnala online
• Se il mittente ha un indirizzo Gmail, segnala il comportamento illecito a Google.