Il phishing è un fenomeno di frode informatica in costante crescita, tramite il quale si ottengono dalle vittime dati sensibili, account e-mail o di social network, ma soprattutto credenziali di accesso alle piattaforme di home banking.
La tecnica
Il termine phishing (dall’inglese fishing “pescare”) descrive la tecnica adoperata da chi “addesca” le persone con un invio massivo di e-mail a un numero elevato di destinatari, nella speranza che qualcuno di essi possa “abboccare”. I messaggi sono predisposti per apparire come legittimamente inviati dalle banche e contengono link a siti web del tutto simili a quelli reali dell’istituto di credito, dove però le credenziali inserite vengono immediatamente captate e da utilizzate per accedere abusivamente agli account dei destinatari.
Per rendere ancora più credibile la frode, di recente il phishing tradizionale si è evoluto nelle forme di SMSishing e Vishing, commessi attraverso l’invio di Sms nel primo caso e chiamate nel secondo, spesso con l’abbinamento delle due forme (Sms + telefonata classica).
Nello schema ricorrente, la vittima riceve un messaggio simile a questo: “Gentile cliente, abbiamo riscontrato alcune incongruenze sul suo conto, ed alcuni pagamenti sono stati sospesi. Contatti con urgenza il n. XXXXXXXXXX per sapere di più. Distinti saluti”.
Contattando il numero indicato risponderà un operatore che si qualificherà come addetto all’antifrode dell’istituto bancario che, con artifizi e raggiri, rappresentando al malcapitato che il suo conto è stato “hackerato”, ovvero sono stati disposti dei pagamenti illegittimi, convincerà la vittima a effettuare bonifici istantanei verso un Iban che chiamerà “conti di appoggio”.
Per essere ancora più credibili, il vishing viene attuato facendo comparire sul display dello smartphone della vittima il numero di telefono ufficiale della banca. Questo trucco è ottenuto in modo piuttosto semplice attraverso l’utilizzo di applicazioni o servizi di spoofing ampiamente disponibili sulla rete.
Le raccomandazioni
La Polizia di Stato raccomanda di osservare, quindi, una serie di cautele:
- Diffidare da e-mail che con una qualsivoglia scusa (conferma dei propri dati per un aggiornamento, allarme su un potenziale accesso abusivo in corso al proprio conto, etc.) invitano a cliccare su un link dove viene poi richiesto di autenticarsi inserendo username e password.
- Tenere sempre a mente che la banca non ha bisogno di chiedere al cliente i dati di accesso alla piattaforma di home banking, perché li possiede nei propri database.
- Diffidare da Sms che allarmano su un accesso abusivo in corso sul proprio conto ed invitano a contattare numeri di telefono cellulare per risolvere il problema.
- Prestare attenzione al linguaggio, sovente sgrammaticato, delle e-mail di phishing, nonché all’indirizzo mail del mittente ed agli URL dei link contenuti, solitamente sono diversi dai nomi di dominio ufficiali della banca.
- Proteggere il proprio dispositivo installando un filtro anti-spam.
- Proteggere l’accesso alla propria piattaforma di home banking attivando sistemi di autenticazione a due fattori.
- Per qualsiasi dubbio contattare la propria banca attraverso i canali ufficiali o recandosi presso la filiale.
Per ulteriori informazioni, visitare la pagina web della Polizia, o rivolgersi al Centro Operativo per la Sicurezza Cibernetica Polizia Postale e delle Comunicazioni “Puglia”- Sezione Operativa Distrettuale di Lecce.