Definizione di phishing

Il phishing è una forma di "macchinazione sociale" nella quale il pirata informatico utilizza competenze sociali per ottenere o compromettere dati personali. Gli attacchi di phishing avvengono tramite e-mail, messaggi popup o siti Web dannosi per ingannare il destinatario e spingerlo a rivelare dati personali, spesso finanziari.

Provenienza del phishing

Il phishing è perpetrato da truffatori online tramite e-mail, messaggi popup o siti Web dannosi che spesso falsificano l'identità di istituti bancari molto noti. Esempi di phishing (noto anche come falsificazione di marchi o furto di carte di credito) includono messaggi e-mail che apparentemente sembrano provenire da un'azienda o un'organizzazione con cui l'utente ha a che fare: una società di carte di credito, una banca, un ministero o un servizio di pagamento online rispettabili, ad esempio PayPal. I pirati richiedono aggiornamenti, convalida o conferma di dati dell'account, spesso adducendo come motivo la presenza di alcuni problemi. L'utente viene reindirizzato a un sito contraffatto nel quale immette i dati relativi all'account utente, che vengono salvati e utilizzati per scopi illegali. Gli obiettivi tipici dei pirati sono persone del mondo aziendale e i clienti di banche, ma gli attacchi di phishing stanno raggiungendo sempre più spesso studenti e pensionati.

Effetti del fishing su un computer

Oltre ai rischi della posta indesiderata, il phishing non danneggia necessariamente il computer, ma può provocare molti danni se ha come risultato il furto di identità. Una volta rivelati i dati personali ai pirati, questi utilizzano l'identità sottratta per acquistare o commettere crimini.

Come proteggersi dal phishing

• Utilizzare la posta elettronica con prudenza: non rispondere a collegamenti in un messaggio indesiderato, un messaggio immediato o una chat
• Non aprire allegati di un messaggio di posta indesiderata
• Proteggere le password e non rivelarle a nessuno
• Non fornire dati sensibili per telefono, di persona o via e-mail a meno che non si sia certi dell'identità del destinatario e che questi abbia diritto ad accedere ai dati
• Verificare la protezione di un sito Web prima di inviare dati sensibili via Internet
• Osservare l'URL del sito. In molti casi di phishing, l'indirizzo Web può sembrare legittimo ma l'URL potrebbe essere scritto in modo errato oppure il dominio potrebbe essere differente, ad esempio .com anziché .gov
• Installare e mantenere software antivirus, firewall e filtri di posta elettronica per ridurre la quantità di posta indesiderata
• Mantenere il browser aggiornato e installare le patch di protezione
• Consultare la scheda di valutazione WOT per verificare se un sito è elencato nelle liste nere dei siti di phishing

Se si ritiene di aver messo in pericolo dati sensibili relativi a degli account o a un'organizzazione, contattare l'istituto finanziario, la società di carte di credito o le autorità appropriate. Contattare l'agenzia di credito e denunciare un sospetto di frode. I casi di phishing devono essere gestiti seriamente e segnalati alla polizia locale. È inoltre possibile inviare una segnalazione al gruppo Anti-Phishing Working Group (APWG).

Vedere anche Adware, Exploit del browser, Frodi su Internet, Malware, Posta indesiderata e Spyware