Phishing e furti di identità: come difendersi?

Cos’è il phishing? E’ un tipo di truffa effettuata attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Come evitare di essere raggirati?

I recenti client di posta elettronica, nella maggior parte dei casi, riescono a riconoscere l’eventuale minaccia e a spostarla in automatico nella posta indesiderata o nello spam (dipende dai client di posta). Come al solito, però, c’è bisogno della vostra attenzione nel fare le cose.

Se la mail vi chiede di accedere ad un sito

Un consiglio che possiamo darvi, se nella mail vi viene richiesto di accedere ad un particolare sito, è quello di provare ad inserire una password “sbagliata” al primo tentativo; se il sito la riconosce come sbagliata, il sito è autentico e possiamo digitare la seconda volta la password giusta.

Se nella mail vengono richiesti dati personali

In caso di email con richiesta di dati personali, numeri di conto, password o carta di credito, quasi sicuramente si tratta di phishing visto che le banche e le poste hanno sempre dichiarato di non richiedere “dati sensibili” per posta elettronica.

Nel caso del problema correlato noto come Pharming, invece, non esiste una vera e propria soluzione a posteriori ed è necessaria un’azione preventiva. Un primo controllo per difendersi dai siti di spillaggio, è quello di visualizzare l’icona, a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL/TLS). Tale connessione garantisce la riservatezza dei dati, mentre la loro integrità e l’autenticazione della controparte avvengono solo in presenza della firma digitale, che è opzionale e non segnalata.

Infatti, una connessione SSL potrebbe essere stabilita con certificati non veritieri, tramite una coppia di chiave pubblica e privata valide, note a chi vuole fare phishing, ma che non sono quelle effettive del sito. Ad esempio, il certificato riporta che il sito it.wikipedia.org utilizza una chiave pubblica, che in realtà è quella del phisher. Il browser piuttosto che l’utente interessato dovrebbero collegarsi al sito di una certificate authority per controllare: la banca dati mostra le chiavi pubbliche e un identificativo del possessore, come l’indirizzo IP o l’indirizzo del sito.

fate attenzione!




Reply