Il fenomeno del phishing: cosa dice il Garante Privacy

L’aumento della tecnologia non è sempre un bene, come ogni cosa questa ha lati positivi e negativi, tanto che talvolta i lati negativi sembrano essere quasi maggiori di quelli positivi. Accade di frequente infatti che a mezzo di link lesivi o mail malware gli utenti si trovino bloccati in una perenne rete di virus e di attacchi ai propri account o alla propria reputazione online.

Uno dei fenomeni oggetto anche di tante notizie in TV e che ha preso sempre più piede nel web è quello che viene denominato phishing. Il phishing viene caratterizzato dalla circostanza in cui un soggetto si appropria dei dati personali di un altro creando una falsa identità.

Il Garante per la privacy, Autorità competente in seno alle problematiche circa l’acquisizione illecita di dati personali, altresì competente a decidere sui reclami inerenti al diritto all’oblio, ed alla cancellazione dei dati, ha, di recente, stilato un vademecum con il quale cerca di mettere in guardia gli utenti web da questo tipo di comportamenti illeciti.

La definizione di Phishing

Il termine phishing denota una tecnica illegale ed illecita che viene utilizzata da un soggetto al fine di appropriarsi di tutte le informazioni personali di un altro soggetto a o anche di un’azienda, ad esempio username e password, codici quali il PIN del cellulare, o, ancora, nei casi di maggior gravità numeri di conto corrente, dati del bancomat e della carta di credito, e così via, al fine di commettere operazioni fraudolente e non legali. In merito a questi ultimi attacchi segnaliamo la nostra recente guida su come proteggersi dagli attacchi al conto corrente.

Come si struttura il phishing

In generale, il comportamento dei truffatori che utilizzano questa tecnica viene conseguito per mezzo di un invio massivo di una mail, tuttavia non viene esclusa la possibilità che il malintenzionato possa utilizzare anche altri mezzi idonei a fuorviare la vittima: quali sms, chat e social. 

Solitamente, la mail o qualsiasi altra comunicazione elettronica, ci sembrerà inoltrata da da un soggetto autorevole ed apparentemente affidabile, come ad esempio una banca, un gestore di carte di credito, un ente pubblico. Negli ultimi anni con il sempre più aumento dell’industria dell’online e delle spese a portata di click, non è escluso che possano arrivarci messaggi o mail dal contenuto equivoco, aventi come mittente un corriere e così via. Una volta individuati i soggetti con cui i ladri di identità si camuffano, andiamo a chiarire quali sono le modalità con cui gli stessi operano. Invero, potenzialmente questi la procedono inviando un messaggio, mail e così via, nella quale invitano il soggetto a fornire alcuni dati personali al fine di risolvere problemi tecnici con il conto bancario, per accettare cambiamenti contrattuali; la dogana, laddove si tratti di messaggi inerente ad una spedizione in via di arrivo, etc. insomma a seconda del soggetto da cui proviene la finta comunicazione, potremmo trovare le scuse più disparate.

Solitamente, scrive anche il garante privacy sullo schema infografico presente sul sito e pubblicato proprio per mettere in guardia gli utenti del web: i messaggi contenenti phishing invitano la vittima se non a fornire nell’immediato i suoi dati personali, a cliccare su di un link che rimanda, quasi sempre, ad una pagina web dove è presente un form da compilare. 

In questo modo, i malintenzionati non hanno chiesto direttamente tramite la comunicazione i dati personali, ma avranno catturato la nostra attenzione e la nostra fiducia, tanto che saremo noi, ignari di tutto, a compilare il form. I dati, poi, potranno essere usati per rubare carte di credito e prelevare denaro conto ovvero ancora addirittura per compiere attività illecite utilizzando le generalità della vittima.

Come fare per tutelarci dai messaggi che richiedono informazioni personali

In primo luogo, banche, enti pubblici, etc. avvisano ormai di consueto che loro non mandano messaggi di questo genere, e dunque se ci arriva una tale comunicazione, potrebbe già accendersi una lampadina di essere caduti in una rete di phishing. Dunque, appare corretto non fornire mai i dati personali, soprattutto quelli sensibili, se non a soggetti realmente qualificati, e mai per mail, sms o chat.

Se ci arriva una comunicazione che ci invita ad aprire un link

Ancora, se si ricevono messaggi con link sospetti, nel dubbio, è sempre meglio non aprirli. Gli allegati infatti, potrebbero contenere virus o programmi c.d. trojan, utilizzati peraltro anche dall’Autorità Giudiziaria nei procedimenti di natura penale, in grado di captare comunicazioni e rubare dati personali contenuti sui nostri dispositivi. A tal proposito, ciò che possiamo fare è quello di posizionare il cursore del mouse sui link prima di cliccarvici sopra: in molti casi apparirà in basso a sinistra il vero nome del sito cui si verrà indirizzati.

Controllare sempre il mittente della comunicazione

C’è da dire, che per un occhio esperto è facile riconoscere i messaggi di questo genere poiché l’indirizzo del mittente è quasi sempre sbagliato. Nel dettaglio, nelle mail di phishing vengono utilizzati trucchetti mentali in grado di ingannare l’occhio, come? Utilizzando imitazioni realistiche dei loghi ed errori nella mail. Ad esempio Amazon potrebbe diventare amzon e così via. 

Altresì, come viene anche ribadito dallo stesso Garante Privacy, è necessario che laddove fossimo vittime del phishing diffidare dai messaggi che hanno toni intimidatori, oppure che contengono minacce di chiusura del conto bancario o altro genere.