La digital transformation, cambiamento organizzativo alle fondamenta della trasformazione del business digitale, è ormai una realtà sempre più consolidata ma le nuove forme di minaccia alla sicurezza informatica possono creare numerose insidie in ambito tecnologico.
Una delle più famose e frequenti frodi informatiche degli ultimi tempi è il phishing, una particolare tipologia di truffa online finalizzata al furto di dati personali (soprattutto codici utente e password) e volta ad accedere in modo illecito a conti correnti bancari o altri servizi.
L’Italia, secondo una ricerca di Kaspersky Lab, è il quarto target mondiale di attacchi con il 5,76% di segnalazioni ed il phishing online, secondo il report 2019 di Clusit (associazione italiana per la sicurezza informatica) si è evoluto così velocemente da portare il numero di attacchi gravi al 37,7%.
Cos’è il phishing
Il termine phishing è una variante di “fishing” (letteralmente “pescare” in inglese), probabilmente influenzato da phreaking e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente (fonte Wikipedia).
Il phishing è una truffa veicolata tramite Internet che prevede l’invio di false comunicazioni tramite e-mail, SMS, social network o piattaforme di Instant Messaging. L’attenzione della vittima è attratta dal motivo del contatto o dal mittente stesso; spesso, infatti, sembra che la comunicazione riguardi qualcuno o qualcosa con cui si ha avuto a che fare di recente o addirittura un Ente importante che spinge la vittima a fidarsi comunicando dati personali sensibili.
5 campanelli d’allarme:
- comunicazione di una sospensione o blocco di un account senza alcuna spiegazione;
- sollecito di pagamento legato ad una determinata operazione entro una data di scadenza fittizia;
- presenza di un indirizzo web che include un dominio simile ma diverso da quello originale dell’ente;
- richiesta di informazioni private;
- errori ortografici nel corpo del messaggio.
Come difendersi
Nicola Tacconi – CISO di Aruba S.p.A. – ha realizzato una guida in cui spiega come evitare o mitigare gli attacchi di phishing. Di seguito alcuni consigli che consentono di navigare più sicuri e non cadere vittime dell’attacco:
- mantenere il proprio browser sempre aggiornato. Installando le ultime versioni e inserendo dei filtri antispam, o degli appositi plug-in, il browser riuscirà a prevenire un maggior numero di tentativi di phishing;
- controllare il dominio da cui proviene la comunicazione. Una società o un ente scriveranno sempre dal proprio dominio, bisogna controllare che corrisponda a quello ufficiale. Questa verifica non dà la massima garanzia di autenticità ma rappresenta un primo controllo da poter effettuare;
- fare attenzione a cliccare sui link nelle e-mail. Come buona norma si consiglia di non cliccare mai sui link contenuti nella comunicazione ma digitare direttamente nel browser l’indirizzo del sito ufficiale del mittente della comunicazione e verificare sul sito il contenuto descritto nella comunicazione dell’e-mail;
- utilizzare più indirizzi e-mail. Quando ci si iscrive a servizi, o siti web, di dubbia affidabilità, è preferibile utilizzare e-mail secondarie, in modo da non rischiare di contaminare la propria casella e-mail principale;
- contattare il servizio clienti. Se arriva una e-mail ambigua e non si capisce con certezza se sia una frode o meno, è meglio contattare il servizio clienti dell’azienda a cui la mail fa riferimento;
- segnalare un sito di phishing aiutando altri utenti a non cadere nella truffa. Ogni segnalazione è utile per far comparire un messaggio di avviso riguardo al sito potenzialmente pericoloso: le segnalazioni possono essere inviate, ad esempio, tramite PhishTank, Google Safe Browsing o Microsoft Smart Screen;
- utilizzare e-mail professionali, dotate di protocolli di sicurezza quali SPF e DMARC sulla posta in ingresso (e in uscita).
Come limitare i danni
Una volta caduti nel tranello del phishing, per limitarne i danni, può risultare utile:
- cambiare la password, nel caso di portali online, o chiudere direttamente il profilo prima che gli hacker possano accedervi;
- contattare il servizio clienti. Qualora l’account sia già stato compromesso e non sia più possibile fare il login con i propri dati, è necessario contattare il servizio clienti per ripristinare manualmente i propri dati d’accesso;
- contattare la banca. In caso di furto di dati bancari va contattato l’istituto di credito per bloccare i servizi coinvolti nella truffa (carte di credito, conti correnti, bancomat ed ulteriori);
- avvisare gli enti colpiti. Oltre al recupero dei dati personali, è opportuno segnalare l’attacco phishing agli enti che ne sono stati colpiti, cosicché possano prendere provvedimenti e contrastare la truffa.
Il phishing, anche se può sembrare una semplice e-mail ingannevole, è un reato vero e proprio. Motivo per cui il passo successivo alle eventuali segnalazioni è quello di informare le autorità competenti. Nonostante non sia previsto dall’ordinamento penale, il phishing è giudicato come frode informatica e furto d’identità digitale. In quanto reato informatico, va comunicato alla Polizia Postale tramite il suo sito con spazio apposito.
In conclusione, esiste davvero un’infinità di attacchi ma adottando le giuste contromisure, la percentuale di attacchi intercettati, bloccati e non andati a buon fine supera l’80%. Sul restante 20% è necessaria una consapevole collaborazione fra fornitori di servizi e clienti.
Nexsys azienda informatica e di consulenza sistemistica e Silver Academy sono validi alleati nella formazione sulla sicurezza informatica e propongono corsi dedicati per combattere il fenomeno degli attacchi informatici:
Corso Sicurezza Informatica per Utenti By Nexsys
Il corso ha l’obiettivo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici in generale e insegna ai partecipanti a porre attenzione anche alle operazioni più comuni dall’apertura degli allegati di posta elettronica, alle policy di security, alla riservatezza della propria password.
Corso specialistico Cyber security per Utenti By Silver Academy
Il seminario illustrerà quali sono le minacce e le violazioni informatiche più frequenti e fornirà gli strumenti per attivare efficaci strategie di difesa ed aumentare il livello di sicurezza all’interno della tua realtà professionale e personale.