Phishing e smishing: cosa sono e come difendersi in caso di truffa

Il phishing è una vera e propria truffa digitale impiegata dai cyber criminali per carpire con l'inganno informazioni confidenziali relative a una persona fisica o giuridica al fine di compiere operazioni truffaldine e fraudolente: username, password, codici di accesso, codici pin, numeri di conto corrente, dati del bancomat o della carta di credito che serviranno ai malviventi per portare a termine la truffa e svuotare il conto corrente. Il phishing avviene di solito via email, ma possono essere utilizzati anche chat e social network. 

Il criminale che voglia colpire in modo efficace, però, fa partire l'attacco via SMS, principalmente per due motivi: l'utente medio pensa che il cellulare sia più sicuro di un pc, e spesso usa il telefono in movimento, mentre si cammina o mentre è distratto, con relativo abbassamento del livello di attenzione, quindi sarà più facile cadere nella trappola e abboccare all'esca dei truffatori. Il phishing condotto a mezzo SMS prende il nome di smishing. Di solito i delinquenti digitali adottano due metodi per rubare questi dati. Possono raggirare le vittime inducendole a scaricare dei malware che si installano automaticamente sul loro smartphone, apparendo come app legittime.

A questo punto l'utente digiterà tutte le informazioni riservate che verranno così inviate ai truffatori. Oppure, come successo nei casi raccontati in apertura, i link contenuti nei messaggi di smishing possono aprire siti falsi in cui viene chiesto di inserire username e password che i cyber criminali possono usare per rubare l’ID delle vittime. I «ladri di dati» si presentano come un soggetto autorevole (di solito l'istituto bancario o postale, il gestore di carte di credito, un ente pubblico, ecc.) che sollecita l'invio di dati personali per risolvere problemi tecnici con il conto bancario o con la carta di credito, per completare un'operazione, per attivare nuove procedure di sicurezza, per accettare cambiamenti contrattuali o offerte promozionali o per far avere un rimborso o al contrario per notificare una cartella esattoriale, ecc. I dati così carpiti possono poi essere utilizzati per prelevare denaro dal conto corrente della vittima o per fare acquisti a sue spese o addirittura per compiere attività illecite utilizzando la sua identità.

Chiunque può essere vittima di phishing, dal professionista a normali studenti

Nell'aprile del 2021 un professionista milanese ha eseguito un bonifico da 300 € ad un'assicurazione in modalità home banking. Qualche ora dopo un messaggio Whatsapp ricevuto sullo smartphone nell'ambito del servizio di messaggistica dell'istituto di credito, lo invitava a seguire una procedura per completare il bonifico. Il professionista ha cliccato sul link, seguito le istruzioni e i 15.000 € presenti in quel momento sul proprio conto si sono volatilizzati. Ma non se ne è accorto immediatamente perché dopo aver cliccato sul link e aver seguito la procedura indicata, il professionista si è ritrovato sull'home page della sua banca. Successivamente si è scoperto che l'hacker conosceva i dati del conto corrente bancario. Nello stesso periodo due ragazzi di Latina, spaventati dall'avviso di blocco della loro carta Postepay Evolution ricevuto via SMS dall'account di PosteInfo, hanno cliccato sul link contenuto nel messaggio per attivare la “nuova sicurezza web”. A quel punto, da entrambe le carte sono partiti due bonifici non autorizzati da migliaia di euro.

Questi sono due esempi di “phishing evoluto”: i messaggi “esca” sono riusciti a insinuarsi nei canali ufficiali di comunicazione degli istituti di credito, provenendo apparentemente dallo stesso mittente delle comunicazioni ufficiali. E come il professionista milanese e i due ragazzi di Latina, lo scorso anno, gli italiani che hanno subito violazioni digitali sono stati circa 10 milioni. Vediamo quindi come possiamo difenderci da questo fenomeno.

Cosa fare in caso di phishing o di smishing?

Se questi attacchi informatici sono così insidiosi cosa possiamo fare per difenderci? Dobbiamo imparare a riconoscerli e la buona notizia è che è relativamente semplice: la maggior parte di questi messaggi-truffa puntano a far compiere un'azione all'utente, prevedono la sua cooperazione o un comportamento collaborativo, tutti prevedono che il truffato debba fare materialmente qualcosa. As esempio aprire un allegato (nel caso di attacchi via email), scaricare un'applicazione o cliccare su un link per inserire poi le proprie credenziali in un form identico a quello autentico.

Il modo migliore per difendersi diventa, quindi, non farsi prendere dalla fretta, dall'urgenza, dall'ansia o dalla paura e astenersi dal fare qualsiasi cosa: non cliccare sui link, non aprire allegati né scrivere le credenziali da nessuna parte. Se c'è il minimo dubbio sull'autenticità di email o SMS non fare nulla e cestinare il messaggio è l'accortezza migliore.

Se, invece, si è ragionevolmente sicuri che che il messaggio sia autentico, occorre comunque controllare prima l'indirizzo del sito perché ormai i siti-truffa sono talmente accurati e ben realizzati che sembrano quelli originali. Nel caso, invece, in cui solo alla fine ci si rende conto di esserci “cascati” e di aver abboccato non bisogna sentirsi stupidi: i truffatori sanno bene come agire. Nel caso in cui le credenziali siano state rivelate, cambiarle, rivolgersi subito alle forze dell'ordine e al proprio istituto bancario segnalando tempestivamente gli addebiti non riconosciuti.

Gli indicatori d'allarme per riconoscere il phishing

Alla lettura del messaggio-esca il primo segnale d'allarme deve scattare se il testo del messaggio contiene errori grammaticali, di ortografia o di sintassi, ripetizioni, punteggiatura usata in modo scorretto, ecc. Un linguaggio grossolano è un chiaro indizio di phishing.

Un altro rivelatore che indica che si è in presenza di una truffa è constatare che il messaggio sembra proprio diretto a noi, ovvero fa riferimento a fatti accaduti (come la procedura di bonifico raccontata in apertura), a luoghi visitati (la truffa dei caselli autostradali è addirittura famigerata!), ecc. L'utente spesso dimentica che i cyber criminali trovano informazioni anche sui social, dalle foto che l'utente posta, da dove si geolocalizza o nei luoghi in cui si registra. In questo contesto è facilissimo raccogliere informazioni e confezionare messaggi-esca quasi in maniera sartoriale. Bisogna sempre diffidare da queste comunicazioni, specie se hanno l'intento di chiedere dei dati. Non fare nulla è ancora la risposta migliore.

Un altro grande classico delle truffe è incutere paura per cui, come si è verificato per i due ragazzi di Latina, può capitare che l'SMS o la email truffaldina comunichi che un account è scaduto, è stato bloccato/disattivato o è stata bloccata una carta di credito e per riattivare il servizio occorre inserire le credenziali nel form che sembra proprio autentico. Non farsi prendere dall'ansia è fondamentale per fermarsi e non comunicare le credenziali ai criminali digitali.

Molto di moda per tanto tempo sono state le email di phishing che comunicavano la vincita di un un premio o una lotteria, o che comunicavano all'utente di essere beneficiario di un'eredità di un parente sconosciuto o destinatario di un rimborso. Ovviamente queste email chiedevano di rispondere nel più breve tempo possibile, pena la perdita del premio, dei soldi, dell'eredità o del rimborso. La verità è che può sembrare banale, ma neanche tanto, visto che anche persone di cultura cadono in questi tranelli – chi non ricorda il famoso articolo sul falso rimborso scritto da Augias? – ma nessun ente comunicherebbe una di queste cose via email o SMS e certamente nessuno chiederebbe di inviare dei dati a mezzo posta elettronica. Gli annunci per la ricerca di eredi di un'eredità giacente esistono, ma vengono pubblicati sui giornali, non comunicati in questo modo.

Il campanello d'allarme più diffuso al momento è quello del SMS che annuncia un problema con il recapito di un pacco. Questo metodo di truffa sta dilagando: arriva, di solito, via email o tramite SMS sul telefonino questo messaggio generico in cui si chiedono dei dati per la consegna di un pacco. E moltissimi ci cascano non perché siano sciocchi ma perché c'è chi magari sta realmente aspettando un pacchetto e così finisce per inserire i suoi dati. I gruppi dedicati ai market place orientali sono pieni zeppi di questi casi.

Come accennato sopra, un altro indizio di truffa è la comunicazione via email o SMS di una sanzione per non aver pagato una tassa, un casello autostradale, una fattura o per aver pubblicato materiale coperto da diritto d'autore. Anche in questo caso, per evitare conseguenze ulteriori o per bloccare la procedura di recupero del credito l'indicazione è di pagare nel più breve tempo possibile. Queste truffe, come quella del blocco del conto, fanno leva sulla paura e niente fa più paura che vedersi recapitare una email con l'intestazione di un ufficio giudiziario! Occorre quindi restare calmi e ricordarsi che nessun ente comunica con queste modalità.

Forse il più insidioso è il phishing sentimentale che fa leva sui sentimenti di solidarietà verso persone fragili come disabili, bambini o anziani, persone in difficoltà finanziaria. Diffidare sempre, ai limiti della paranoia, è l'unica arma per contrastare questi criminali.

Cosa non fare in caso di attacco phishing o smishing?

Non abboccare all'esca della fretta e della paura, quindi non aprire e cestinare tutte le email o gli SMS che comunicano ad esempio: che l'assicurazione è scaduta, o che la carta resterà bloccata fino a quando non si inseriranno i dati o non si seguirà la procedura descritta nel messaggio che contiene un link da cliccare. Certamente quel collegamento porterà non verso il sito istituzionale dell'istituto di credito (anche se sembrerà autentico!) o dell'assicurazione ma verso siti web malevoli realizzati allo scopo di rubare i dati. Occorre sempre verificare l'URL del sito, prima di cliccare, semplicemente passando il cursore sopra la scritta, facendo attenzione ai dettagli: i domini dei siti truffa differiscono da quelli ufficiali anche solo per una lettera.

Non comunicare mai le credenziali a terzi, alla banca non servono, non ha bisogno che l'utente comunichi suoi dati personali (li ha già!) non ha alcuna necessità di chiedere informazioni via email, telefono o SMS. Piuttosto, se un messaggio sembra strano o sospetto, è meglio contattare direttamente l'assistenza clienti. Diffidare sempre dei mittenti di SMS o email, esistono infatti app che modificano o nascondono il numero o l'indirizzo reale del mittente.

Non cedere all'inganno della paura di sanzioni, una qualsiasi procura della repubblica non comunicherà mai via email o SMS. Gli atti giudiziari arrivano solo con busta verde.

Non aprire mai gli allegati né eseguire mai programmi (massima attenzione ai .EXE e .VBS) né scaricare applicazioni da comunicazioni non verificate o sospette. Configurare la posta elettronica anche sullo smartphone, aprire solo gli allegati noti o di cui si è in attesa e scansionare gli altri con un antivirus dallo smartphone. In questi allegati di solito ci sono dei ransomware quindi bisogna prestare moltissima attenzione anche anche ai files che sembrano innocui come .PDF o .DOC o .XLS.

L'essere un pochino paranoici, prestare la dovuta attenzione, non farsi prendere dalla fretta e un buon antivirus sono le armi migliori per contrastare il phishing. Invece, per tutti i professionisti o le aziende che volessero approfondire i temi legati alla data protection, abbiamo creato l'Executive Master Data Protection e Cyber Legal con più di 120 lezioni utili ad approfondire i temi legati all'era digitale e della sicurezza aziendale con i maggiori esperti del settore.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy