Come proteggersi dalle frodi e dagli inganni dello spam e non abboccare all'amo del phishing
Che cos'è il phishing?
Cosa fare per proteggersi?
Come segnalare una frode?
Che cos'è il phishing?
Il modo migliore di prendere un pesce all'amo è servirsi di un'esca così realistica da sembrare vero cibo. Il phishing sul Web funziona allo stesso modo. I malintenzionati utilizzano un indirizzo contraffatto per inviare messaggi istantanei o di posta elettronica che sembrano provenire da aziende fidate quali Citibank, eBay o MSN. Se ci si lascia trarre in inganno si mettono a rischio denaro e identità. Scopri come evitare le frodi tramite phishing.
Come funziona il phishing?
Coloro i quali inviano messaggi di phishing fanno assegnamento sulla fiducia dei destinatari nei confronti di noti marchi per indurli a fare clic su un collegamento, il quale consente di accedere a una pagina Web, altrettanto convincente quanto fasulla, o di aprire una finestra a comparsa dall'aspetto identico a quello ufficiale. Viene quindi richiesto di immettere dati personali sensibili, ad esempio il codice fiscale, un numero di conto corrente o di carta di credito, un codice di convalida, una password o un PIN.
Questo tipo di frode sorprende e preoccupa per la sua stessa semplicità. Diverse migliaia di persone hanno ricevuto messaggi di posta elettronica provenienti apparentemente da soggetti quali:
Il proprio "istituto bancario" che richiedeva conferma di un addebito pari a € 829,49 per un soggiorno in un albergo di Nuova Delhi; un inganno così accurato da includere il logo della banca, nonché assicurazioni in merito alla protezione della privacy. Il lettore doveva semplicemente fare clic sul collegamento "STOP THIS PAYMENT" per accedere a una pagina contraffatta con altrettanta abilità nella quale venivano richieste informazioni relative al conto corrente necessarie per bloccare il pagamento.
Il proprio operatore di telefonia mobile che dava comunicazione del rifiuto di un pagamento effettuato con carta di credito. In questo caso, il messaggio minacciava la sospensione dell'account qualora non si fosse utilizzato immediatamente l'apposito collegamento per aggiornare i dati della carta di credito. Tale "utile" collegamento veniva fornito per semplificare l'operazione di "aggiornamento".
"MSN" che, rivolgendosi al lettore con espressioni del tipo "Gentile cliente dei servizi MSN", notificava la disattivazione dei servizi qualora non si fosse utilizzato il collegamento fornito per confermare la propria identità.
I siti erano contraffatti con tale cura che soltanto nel 2003 ben 2 milioni di persone si sono lasciate ingannare e hanno rivelato informazioni riservate mettendo a rischio il proprio denaro e la propria reputazione.
Cinque modi per proteggersi dal phishing
Sebbene il modo più sicuro per non restare vittime di una frode tramite phishing consista nell'adottare la massima prudenza e attenzione quando si comunicano dati personali sensibili, esistono alcune semplici precauzioni che possono contribuire a ridurre i rischi.
>1. Non comunicare MAI dati personali sensibili in un messaggio di posta elettronica, un messaggio istantaneo o una finestra a comparsa
In genere, le aziende serie e affidabili non utilizzano simili metodi per richiedere password, numeri di conto o di carta di credito e altre informazioni riservate. È semplicissimo per gli specialisti del phishing ingannare le persone contraffacendo l'indicazione del mittente in un messaggio di posta elettronica.
>2. Essere sempre molto diffidenti quando viene richiesto di fare clic su un collegamento riportato in un messaggio o in una finestra a comparsa
Se si riceve un messaggio istantaneo o di posta elettronica oppure viene visualizzata una finestra in cui viene richiesto di fornire dati personali, è consigliabile non fare clic sul collegamento. In caso contrario, potrebbe essere aperto un sito fittizio da cui le informazioni fornite possono essere inviate al truffatore che lo ha realizzato.
Se non si è sicuri dell'autenticità di un messaggio, è necessario rivolgersi all'azienda in questione utilizzando i recapiti presenti su comunicazioni precedenti o sull'elenco telefonico. Per visitare un sito Web, è sempre opportuno digitarne l'indirizzo o servirsi dei propri collegamenti eventualmente salvati nel browser.
>3. Verificare che il sito Web sia autentico e provvisto di opportuni meccanismi di protezione dei dati personali
Gli specialisti del phishing possono facilmente falsificare l'indirizzo visualizzato. Se si nutre anche il minimo dubbio che il sito non sia ufficiale, meglio essere prudenti e abbandonarlo immediatamente.
È opportuno accertarsi della presenza di sistemi di crittografia dei dati, un metodo di protezione che consente di proteggere i dati sensibili inviati tramite Internet. Come mostrato di seguito, la presenza di tali sistemi è indicata dal protocollo https ("s" sta per "secure", protetto) nell'indirizzo Web e da una piccola icona a forma di lucchetto chiuso o chiave intera nella barra di stato.
È opportuno verificare di essere nel sito giusto. Purtroppo, in alcuni sistemi è possibile falsificare anche queste icone. Occorre, pertanto, fare doppio clic sull'icona per visualizzare il certificato di protezione del sito (come illustrato di seguito). Il nome riportato nel certificato deve corrispondere a quello nella barra degli indirizzi. Se i due nomi non corrispondono, il sito potrebbe essere contraffatto.
>4. Esaminare regolarmente gli estratti conto
Per accertarsi che non si siano verificate movimentazioni sospette, è opportuno controllare attentamente gli estratti conto mensili della banca o della carta di credito e accedere regolarmente ai conti in linea.
>5. Migliorare la protezione del computer
Gli specialisti del phishing contano sul fatto che non vengano applicati gli aggiornamenti della protezione più recenti per tentare di sfruttare eventuali vulnerabilità dei sistemi informatici. Per migliorare la protezione del computer, è possibile seguire le istruzioni fornite all'indirizzo http://specials.it.msn.com/security/pcsafety. In questo sito, Microsoft ha raccolto informazioni utili sull'utilizzo di firewall, l'installazione di programmi antivirus e l'aggiornamento costante del computer e del software Windows e Office.
Quali sono gli elementi che indicano una frode?
È spesso molto difficile perfino per gli esperti distinguere tra una frode e un messaggio autentico. La prudenza e le cinque semplici regole indicate sopra rimangano la miglior difesa. Detto questo, ecco alcuni elementi rivelatori di una frode tramite phishing. All'indirizzo cloudmark.com/phishing/learn è anche disponibile una copia dell'ingegnoso messaggio Citibank fasullo.
Richieste di dati personali in messaggi di posta elettronica. In genere, le aziende affidabili non richiedono informazioni personali tramite posta elettronica.
Messaggi con carattere di eccessiva urgenza e minacciosi. Lo scopo dei truffatori è comunicare un'impressione di urgenza che induca l'utente a reagire senza riflettere.
Errori di ortografia e grammatica .
Indirizzi Web leggermente modificati. Soltanto un'analisi attenta consente di individuare piccole alterazioni ortografiche, ad esempio, www.microsoft.com potrebbe essere scritto come http://www.micosoft.com/, http://www.mircosoft.com/ o http://www.microsoft.com/.
Offerte troppe belle per essere vere probabilmente non lo sono.
Segnalazione di messaggi sospetti
Ecco cosa fare se si ritiene di aver ricevuto un messaggio di phishing:
INVIARE il messaggio all'azienda a cui si fa riferimento nel messaggio stesso. L'azienda potrebbe aver predisposto un indirizzo di posta elettronica dedicato alla segnalazione di questo tipo di abusi. Ad esempio, l'indirizzo predisposto da "MSN" è abuse@msn.com. Quando si inoltra questo tipo di messaggio, è indispensabile inserire il proprio indirizzo di posta elettronica.
SEGNALARE i casi di phishing alle autorità competenti inviando un messaggio di posta elettronica a istituzioni quali:
L'FBI tramite il sito Internet Fraud Complaint Center all'indirizzo http://www.ifcbi.gov/ che opera in collaborazione con istituzioni internazionali per chiudere i siti di phishing e individuarne gli autori.
L'Anti-Phishing Working Group, associazione che riunisce operatori del commercio elettronico, all'indirizzo reportphishing@antiphishing.org.
Suggerimento per inoltrare un messaggio sospetto preservandone l'intestazione originale
Nell'intestazione di un messaggio di posta elettronica sono celate informazioni che gli esperti possono utilizzare per identificare il mittente e senza le quali può risultare impossibile procedere alle indagini. Per informazioni su come inoltrare un messaggio sospetto preservandone l'intestazione originale, è possibile visitare il sito all'indirizzo http://specials.it.msn.com/security/inbox/default.asp#havespam
Cosa fare se si è vittima di un caso di phishing
Se si ritiene che i propri dati personali siano stati compromessi o rubati:
CHIUDERE IMMEDIATAMENTE qualsiasi account aperto o a cui siano stati effettuati accessi senza autorizzazione.
CAMBIARE IMMEDIATAMENTE le password e i PIN di TUTTI gli account in linea.
ANDARE SU safety.msn.com/idtheft per informazioni sulle azioni da intraprendere per ridurre i danni e su come denunciare il fatto in modo appropriato e conforme ai requisiti FTC (US Federal Trade Commission).
Se le informazioni rivelate includono la password del servizio Microsoft Passport Network e non è più possibile accedere al proprio account MSN Hotmail poiché tale password è stata cambiata senza autorizzazione, è necessario darne immediata comunicazione all'indirizzo abuse@msn.com. Il team MSN può reimpostare la password se viene fornita la risposta esatta alle domande di protezione.
Risorse
Per le informazioni più recenti su statistiche e schemi relativi al phishing, è possibile visitare il sito Anti-Phishing Working Group all'indirizzo
http://www.antiphishing.org/
MSN Online Safety & Security (safety.msn.com) è un'altra utilissima e completa fonte di informazioni. Per ulteriori informazioni sul phishing, è possibile visitare il sito all'indirizzo safety.msn.com/phishing.