Il phishing è una delle tipologie di attacco informatico più diffusa in assoluto. Attraverso questo tipo di attacco, l’utente riceve una e-mail (o a volte anche un messaggio) a prima vista proveniente da un mittente conosciuto, come ad esempio il proprio istituto di credito. In realtà, però, questa mail proviene da un hacker.
All’interno della mail spesso è presente un allegato o un link che rimanda a un sito apparentemente legittimo, ma che invece è gestito da un malintenzionato.
Nel messaggio viene comunemente richiesto di scaricare l’allegato (ovviamente malevolo) o, ancor peggio, di inserire dei dati sensibili (ad esempio, i propri estremi bancari) in un modulo, con la scusa di dover risolvere un presunto problema urgente. Com’è facile immaginare, queste informazioni finiranno nelle mani dell’hacker, che potrà utilizzarle per commettere truffe ai danni del malcapitato.
Negli ultimi tempi, complice la pandemia da COVID-19 e il conseguente incremento dei lavoratori in smart working, si è verificato un notevole aumento di casi di phishing in tutto il mondo. A subire questa tipologia di attacco non sono stati soltanto gli utenti comuni, ma anche i dipendenti di aziende di qualsiasi dimensione.
Ovviamente, le imprese colpite possono essere danneggiate notevolmente, sia in termini economici che di immagine. Per proteggersi, è necessario che i dipendenti conoscano a fondo cos’è il phishing, ad esempio seguendo appositi corsi di formazione istituiti dalle aziende stesse. Esistono dei dettagli, infatti, a volte anche piuttosto evidenti, che rendono riconoscibile una mail di phishing. In questo articolo ne verranno illustrati alcuni.
Presenza di errori ortografici e grammaticali
Molto spesso, le e-mail di phishing si riconoscono grazie alla presenza di numerosi errori linguistici, soprattutto di natura grammaticale. A volte, sembra quasi che il testo sia stato tradotto male, ad esempio attraverso l’utilizzo di un pessimo software di traduzione.
Altre volte, gli errori possono essere ortografici: in pratica, ci si può imbattere in parole scritte in modo non corretto, in errori di accentazione e così via. Naturalmente, è ben difficile che una e-mail autentica presenti errori di questo tipo, ecco perché in casi del genere è bene stare in guardia.
Richiesta di inserire dati sensibili
In linea generale, è molto difficile che un ente ufficiale, come ad esempio una banca, richieda determinate informazioni di carattere sensibile tramite un messaggio di testo o una e-mail. In questo caso, è lecito sospettare che si tratti di un tentativo di phishing.
Qualora si abbia il dubbio che la mail ricevuta sia effettivamente autentica, il consiglio è quello di contattare telefonicamente il mittente e chiedere informazioni al riguardo. La prudenza non è mai troppa.
Presenza di link sospetti
Quando si riceve un’e-mail contenente un link, è sempre buona norma evitare di cliccarci sopra se non si è assolutamente sicuri della provenienza del messaggio.
Per verificare se si tratta o meno di un tentativo di phishing, è sufficiente passare il puntatore del mouse sul link senza cliccare e attendere che compaia l’indirizzo.
Se l’e-mail proviene, ad esempio, da PayPal, è lecito attendersi che il link rimandi al sito della compagnia: se invece l’indirizzo che compare non ha nulla a che fare con PayPal, allora si tratta sicuramente di una mail fraudolenta, che andrà segnalata come phishing.
Presenza di allegati sospetti
In casi del genere, il consiglio è quello di non scaricare assolutamente l’allegato, specialmente se la mail proviene da un mittente sconosciuto. Infatti, questi allegati possono rappresentare un rischio concreto per i computer e, soprattutto, per i dati sensibili in quanto spesso contengono malware.
Strumenti di sicurezza informatica per proteggersi dal phishing
Soprattutto quando si lavora da remoto, è fondamentale dotare i propri dispositivi di appositi strumenti atti a limitare i rischi di phishing.
Occorre dunque munirsi di validi software antivirus e anti-malware e affidarsi a una buona VPN che permetta di crittografare il traffico dei dati in modo da renderli indecifrabili nel caso in cui vengano rubati.
Volendo, è anche possibile utilizzare una VPN gratis, ma questa potrebbe non garantire una protezione paragonabile a un servizio a pagamento.