Menu

Phishing

Il phishing (parola derivata da “phreaking” – frode informatica e “fishing”- pescare) mira a raccogliere informazioni personali cercando di ingannare la vittima.

Di cosa si tratta?

Il phishing  (parola derivata da “phreaking” – frode informatica e “fishing”- pescare) mira a raccogliere informazioni personali, finanziarie o di sicurezza (codici, credenziali, password, dati  confidenziali, ecc.), convincendo con l’ingannola vittima a fornire i propri dati. Un malintenzionato si finge di essere una fonte attendibile (banca, istituzione ecc..) per chiedere e ottenere credenziali di accesso (codici o password) o dati riservati (IBAN, numero carte ecc..).

Il phishing prevede l'invio massivo di mail false, progettate per apparire nell’aspetto e nel contenuto simili a messaggi ufficiali.Questi messaggi contengono allegati o link a siti internet fasulli (apparentemente uguali a quelli veri), che contengono malware o che “rubano” i dati di accesso inseriti.

Il phishing è uno degli attacchi più comuni rivolti ai clienti bancari. 

Un attacco di phishing può riassumersi nelle seguenti fasi:

  • il malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di un'istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di e-commerce  a cui è iscritto)
  • l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro
  • l'e-mail invita il destinatario a cliccare su un link (sito fasullo / fake login), presente nel messaggio per regolarizzare la sua posizione con l'ente o la società
  • il link fornito non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali sensibili. Quest'ultimi  vengono memorizzati dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato, il quale li utilizza  per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi. 

 

(fonte: Wikipedia)

Tipologie

Esistono alcuni varianti o tipologie diverse di phishing.

  • Vishing:  variante di phishing perpetrata tramite telefono e che utilizza un finto numero di chiamante per indurre la vittima a condividere informazioni personali, finanziarie o di sicurezza, o a trasferire denaro
  • Smishing: variante  del phishing perpetrata tramite sms, che possono riportare link di siti fasulli o numeri di telefono riconducibili a truffatori che fingono di essere società legittime che mirano a ottenere informazioni personali, finanziarie o di sicurezza  
  • Spear Phising:  attacco mirato verso un individuo o una compagnia per cercare informazioni
  • Scam: mail di phishing con cui si punta sulla compassione delle persone o si promettono grossi guadagni (lotteria, borsa, ecc…) in cambio di somme di denaro da anticipare 
  • Social engineering:  è un'evoluzione del phising, infatti tramite l’interazione umana (competenze sociali) e la manipolazione psicologica mira a crearsi credibilità ed ottenere informazioni riservate e/o far effettuare azioni come richieste di fondi o propaganda e/o rinforzare la propria credibilità. Alcuni attacchi  di Social Engineering si rivolgono alle aziende e viene utilizzata l'interazione umana per ottenere informazioni sull’organizzazione o sui suoi sistemi informatici. Spesso il malintenzionato, offrendo alla vittima dell’attacco credenziali attendibili per dimostrare la falsa identità, si presenta nelle vesti di un nuovo dipendente, un addetto alle riparazioni, un ricercatore, o addirittura un dirigente e. una volta ottenuta la sua fiducia, punta a  raccogliere informazioni sufficienti per infiltrarsi nella rete dell’organizzazione, oppure spinge la vittima a effettuare operazioni in denaro.

Come difendersi?

La prima soluzione  al phishing è  “Non abboccare”.  Adottando comportamenti  consapevoli e attenti si può evitare di cadere nella trappola.

  1. Ricordarti che la Banca non chiederà mai di fornire informazioni personali o di sicurezza via email o telefono o sms.
  2. Le e-mail di Phishing si possono riconoscere perché generalmente  fanno uso di toni intimidatori e/o hanno carattere di urgenza, non sono personalizzate, presentano spesso errori di ortografia o grammatica, passando il cursore - senza cliccare - sull’indirizzo e-mail del mittente presentano un indirizzo reale diverso da quello indicato e, soprattutto, invitano con qualche pretesto a cliccare su un link, che anche in questo caso non risulterà quello reale (passando con il cursore sopra al link senza cliccarlo si visualizza il vero indirizzo spesso chiaramente anomalo) o a scaricare/aprire un allegato.
  3. Gli sms di smishing in genere sono riconoscibili per il tono di urgenza del messaggio, la presenza e la richiesta di cliccare su un link o chiamare un numero di telefono, ad esempio, per verificare o aggiornare un account.

Pertanto, se ricevi una comunicazione con queste caratteristiche:

  • non dare mai seguito alla richiesta: controlla sempre la fonte mittente e l’autenticità del link, la presenza di errori e verifica se ci sono differenze anche minime nell’indirizzo del mittente, confrontandolo anche con altre e-mail autentiche ricevute in precedenza
  • non compilare moduli presenti nelle email dove si chiede di inserire informazioni personali
  • non usare link contenuti nei messaggi email/sms per caricare una pagina web, ma digita l’indirizzo nel browser
  • non cliccare su link/allegati o immagini che ricevi via sms senza prima aver verificato il mittente, ricercando il numero online o confrontandolo con il numero ufficiale del mittente e ricontattando la Banca sui canali ufficiali (Filiale, Gestore, Servizio Clienti 800771100) per qualunque dubbio sull'attendibilità del messaggio 
  • verificare l’autenticità del sito prima di fornire le credenziali: controlla che la URL inizi con "https://", piuttosto che http://; Cerca  il nome del sito e il simbolo del lucchetto nell'angolo in alto a sinistra nella riga dell’indirizzo e cliccalo per verificare la validità del certificato digitale 
  • non rispondere a sms che richiedono il PIN, password o altre credenziali del servizio di internet banking o dell’App Nowbanking
  • non rispondere mai a e-mail sospette, ma contatta direttamente la banca (Filiale/Gestore/Servizio Clienti) telefonicamente o inoltrando l’e-mail, digitando tu stesso l’indirizzo corretto che trovi sul sito o della filiale/gestore che trovi all’interno dell’area riservata del Nowbanking
  • quando  si entri nella home page dei servizi Nowbanking controlla che la data dell’ultimo accesso corrisponda all'ultima volta in cui sei effettivamente entrato nell'internet banking
  • attenzione quando utilizzi un dispositivo mobile, potrebbe risultare più difficile fare le verifiche sopra indicate;

Se ricevi  una telefonata dal nostro Servizio Clienti che sembra strana o inusuale, non esitare a chiedere informazioni aggiuntive all’operatore e, comunque, non fornire mai i dati se non si è completamente convinto di parlare con un operatore del Gruppo bancario Crédit Agricole Italia. 
Segnala immediatamente alla Banca qualsiasi azione o situazione che sembri sospetta.

Soluzione Tecnica

Contro il Phishing esistono anche accorgimenti tecnici, quali quelli di seguito indicati:

  • utilizzare una protezione anti-phishing, presente nei software Anti-Virus o Internet Security
  • verificare che l'antivirus blocchi i siti di phishing, o prendere in considerazione l'installazione di una barra degli strumenti del browser che segnali eventuali attacchi di phishing
  • assicurarsi di usare l'ultima versione del browser e che tutti gli aggiornamenti di sicurezza siano stati installati.