Phishing: prevenire è meglio che curare
Ogni giorno i nostri sistemi informatici sono vittime di numerosi attacchi. Una delle tecniche maggiormente utilizzate dai criminali informatici per realizzare i predetti attacchi è il phishing, che in questi ultimi anni sta vivendo una vera e propria crescita, essendo da un lato semplice da realizzare e dall’altro potenzialmente molto redditizio.
Ma cosa si intende esattamente per phishing?
Il phishing è una forma illecita di adescamento attraverso cui i criminali informatici si appropriano di una serie di informazioni riservate e appartenenti a una persona fisica o a una società (ad esempio dati anagrafici, username, password, codici di accesso, numeri di conto corrente e dati di carte di credito) con il fine ultimo di compiere operazioni fraudolente.
La tecnica normalmente utilizzata consiste nell’invio di e-mail ingannevoli attraverso cui i “pescatori di dati personali” – qualificandosi come soggetti autorevoli, come ad esempio l’istituto di credito, l’ente pubblico o il gestore delle carte di credito – sfruttano le paure delle persone per indurle a:
- fornire una serie di informazioni personali necessarie a risolvere particolari problemi tecnici o di sicurezza, accettare cambiamenti contrattuali o gestire richieste di rimborso;
- cliccare i link presenti nelle comunicazioni ricevute, che a loro volta rimandano a pagine web fittizie in cui vengono richieste una serie di informazioni personali tramite la compilazione di appositi form.
Una volta fornite le informazioni, queste vengono raccolte e utilizzate dai criminali informatici per compiere attività illecite; nello specifico, fare acquisti a spese delle vittime, prelevare denaro contante sul conto corrente o addirittura utilizzare le credenziali e i codici di accesso sottratti.
Da non trascurare anche il mondo dei social, ambito nel quale negli ultimi anni il phishing sta diventando sempre più presente.
Anche in questo caso, la tecnica utilizzata dai “pescatori di dati personali” è pressappoco identica alla precedente: viene, infatti, creata una copia di una pagina presente su un social network (ad esempio una falsa pagina Facebook) attraverso cui gli utenti vengono “costretti” a condividere i propri dati personali, che vengono così raccolti e sottratti.
Come fare, quindi, per prevenire il phishing?
Al riguardo il Garante per la protezione dei dati personali ha realizzato una scheda informativa (consultabile cliccando qui) in cui vengono forniti una serie di accorgimenti per consentire agli utenti e alle società di tutelare i propri dati personali o i dati di cui sono titolari del trattamento contro gli attacchi di phishing.
In particolare, l’Autorità Garante consiglia di:
- non cliccare link contenuti nei messaggi sospetti e non aprire eventuali allegati, che potrebbero contenere virus o programmi malevoli. Un’accortezza da adottare rispetto ai link potrebbe essere quella di posizionare il puntatore del mouse sul link stesso prima di cliccare: in molti casi verrà visualizzato il vero nome del sito a cui si sarà indirizzati;
- prestare attenzione al contenuto dei messaggi, che spesso contengono errori grossolani di grammatica, formattazione e traduzione da altre lingue;
- prestare ancor più attenzione all’indirizzo del mittente del messaggio;
- diffidare dai messaggi contenenti toni intimidatori, che sono proprio volti a creare paura e ansia nell’utente al fine di ottenere rapidamente le informazioni personali richieste;
- installare specifici programmi antivirus sui propri device, che consentano di proteggerli anche dagli attacchi phishing;
- non memorizzare dati personali o codici di accesso nel browser utilizzato per navigare on-line;
- impostare password alfanumeriche complesse, ricordandosi di cambiarle di frequente e di adottarne di diverse a seconda del servizio utilizzato;
- utilizzare connessioni sicure. Ciò vuol dire non sfruttare connessioni sconosciute o wi-fi pubblici senza password di protezione;
- usare carte di credito prepagate o altri sistemi di pagamento che non consentono la condivisione dei dati del conto corrente bancario o della carta di credito in caso di acquisti on-line;
- attivare i sistemi di notifica, che informino l’utente delle movimentazioni bancarie.
Prudenza e attenzione, accanto alla costante formazione del personale coinvolto nel trattamento dei dati sono le parole chiave da non dimenticare per contrastare gli attacchi di phishing ed evitare di incorrere in violazione di dati personali, che richiedono poi un’approfondita analisi e valutazione al fine di dar corso agli adempimenti richiesti dal Regolamento UE n. 2016/679, meglio conosciuto come GDPR.