.jpg)
Si riceve, ad esempio, un'e-mail che invita a recarsi in un determinato sito (il link viene fornito all'interno del messaggio), dove si dovranno inserire delle informazioni di natura personale, quali password, numero di conto bancario, etc.
La suddetta e-mail sembra, a prima vista, provenire ufficialmente dalla nostra banca, oppure da eBay, o magari da PayPal, il noto sistema di pagamento on-line. Tuttavia, per quanto il messaggio possa sembrare autentico e convincente, si tratta di un falso;
SOLO PER I VISITATORI REGISTRATI a http://tuttetruffe.blogspot.com/
cliccando sul link, e immettendo successivamente le informazioni richieste, i cybercriminali entreranno agevolmente in possesso dei nostri dati sensibili, che utilizzeranno poi per i propri loschi fini.
Numerosi istituti bancari hanno recentemente adottato e messo in atto ulteriori misure di sicurezza per fronteggiare i tentativi di phishing, riuscendo in tal modo ad ottenere una drastica riduzione del numero delle e-mail di phishing indirizzate a banche di primaria importanza. Ciò non significa tuttavia, che tale tipologia di truffa non venga più utilizzata; i cybercriminali hanno semplicemente provveduto a modificarne le caratteristiche, tenendosi così al passo con i tempi.
Le e-mail di phishing sono ormai divenute un fenomeno di portata internazionale: il testo del messaggio originale viene in effetti tradotto in svariate lingue. I malintenzionati, inoltre, cercano con ogni sforzo di imitare alla perfezione il lay-out e la grafica utilizzati dai maggiori istituti bancari ed enti finanziari nelle proprie e-mail ufficiali.
Risulta quindi difficile poter distinguere logo e colori utilizzati dai cybercriminali da quelli autentici. Il testo del messaggio di phishing risulterà invece, con ogni probabilità, letteralmente “crivellato” di errori grammaticali ed ortografici, tale da meritarsi subito un bel red flag.
Inoltre, anche le e-mail che iniziano genericamente con “Caro Cliente”, anziché riportare la corretta indicazione del vostro nome, costituiscono un chiaro indice di tentativo di phishing, tanto più che, al giorno d'oggi, vengono oramai personalizzate addirittura le newsletter. E' davvero altamente improbabile che una comunicazione di natura ufficiale non rechi direttamente il vostro nome.
Gli istituti bancari autentici, infine, di certo non procederanno mai a richiedere il vostro numero di PIN o il numero che autorizza l'effettuazione della transazione (TAN), così come altre informazioni di natura sensibile, e tutto questo men che meno via e-mail.
Come abbiamo affermato sopra, non sono esclusivamente le banche a costituire il bersaglio privilegiato degli attacchi di phishing. In questi ultimi tempi, è stata altresì dispiegata in Internet una quantità notevole di e-mail di phishing volte a carpire i dati relativi agli account utilizzati dagli utenti nei dei sistemi di pagamento on-line, come PayPal, o per accedere ai siti delle aste on-line, come eBay.
Le e-mail di phishing rappresentano attualmente lo 0,94% del volume complessivo di spam circolante in Internet: detto ciò, è incredibile constatare come addirittura il 60% di tali messaggi abbia quale target proprio PayPal. Le e-mail di phishing di tale natura minacciano spesso l'imminente chiusura dell'account di cui disponete, poiché, secondo quanto si asserisce, esso non è stato più utilizzato per un certo periodo di tempo.
Per mantenere l'account attivo, così recita il messaggio in questione, si dovrà effettuare un determinato login; a tal scopo, l'e-mail naturalmente fornisce un apposito e comodo link... Qualora vi si clicchi, verrà visualizzata una pagina il cui aspetto risulterà essere estremamente simile a quello delle pagine web presenti nel sito ufficiale preso di mira dai cybercriminali; in essa, si richiederà di inserire nome utente e password. All'apparenza, tale pagina sembrerà appartenere, in tutto e per tutto, ad un sito ufficiale: in realtà fa parte di un sito contraffatto.
Non si devono quindi mai utilizzare quei link presenti all'interno di una e-mail che conduca ad una pagina web sulla quale si richiede l'immissione di informazioni sensibili. E' quindi sempre buona norma utilizzare opportunamente i segnalibri presenti nel vostro browser, oppure inserire di persona l'indirizzo web nell'apposita casella del browser. In effetti, anche se un link vi appare del tutto legittimo ed ufficiale, JavaScript potrebbe sempre poi agevolmente aprire in background un indirizzo del tutto diverso da quello mostratovi.
Figura 1: Migliore addirittura dell'originale? Esempio di sito di phishing ispirato ad eBay
Se si hanno dei dubbi riguardo all'autenticità di un messaggio ricevuto, è altamente raccomandabile chiamare direttamente al telefono la società in questione, od inviare ad essa un'apposita e-mail, per richiedere tutti i chiarimenti del caso. Qualora si opti per questa seconda soluzione, poi, si consideri che in tali casi non bisogna mai rispondere direttamente al messaggio inviatoci, effettuando meccanicamente l'operazione di reply.
E' invece opportuno andare a consultare il sito web della suddetta società, alla sezione “Contatti”, utilizzando poi l'indirizzo o gli indirizzi di posta elettronica in essa riportati. Ciò garantisce che la richiesta di chiarimento inoltrata giunga effettivamente alla mailbox di tale società, piuttosto che ad un indirizzo “invalido” utilizzato dagli scammer o dagli spammer.
