Nella consulenza alle nostre aziende, mettiamo spesso in guardia i clienti dalla truffa del phishing che avviene di solito via e-mail, ma con la possibilità che vengano anche utilizzati sms, chat e social media. Il Garante, recentemente, ha suggerito alcune cautele per arginare o quantomeno mitigare il fenomeno.
L’intera operazione parte, in genere, dalla presentazione di un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici, per accettare cambiamenti contrattuali e/o offerte promozionali vantaggiose, o anche per gestire la pratica per un rimborso fiscale o una cartella esattoriale. Nella maggior parte dei casi, i messaggi di phishing invitano in particolare a fornire direttamente i propri riferimenti oppure a cliccare un link che rimanda ad una pagina web dove è presente un form da compilare. I dati così ottenuti possono poi essere utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.
Sul punto, allora, è bene rammentare che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono mai informazioni personali attraverso e-mail, sms, social media o chat: è necessario, pertanto, evitare innanzitutto di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali. Se si ricevono messaggi sospetti, conviene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone. Spesso dietro i nomi di siti apparentemente sicuri, o le URL abbreviate che si trovano sui social media, si nascondono link a contenuti non sicuri.
I messaggi di phishing, peraltro, sono progettati per ingannare e spesso utilizzano imitazioni realistiche dei loghi o addirittura delle pagine web ufficiali di banche, aziende ed enti. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue. E’ utile anche prestare attenzione al mittente (che potrebbe avere un nome vistosamente strano o eccentrico) o al suo indirizzo di posta elettronica (che spesso appare come un’evidente imitazione di quelli reali). Meglio diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali. Consigliamo, infine, di (i) installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing, così come di (ii) controllare che siano attivati i sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing all’interno dei programmi e gestori di posta elettronica e, ovviamente, (iii) impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato.