PHISHING: Cos'è, come riconoscerlo e come proteggersi

Il phishing è una delle tecniche di truffa più subdole e diffuse nel mondo digitale. Tuttavia,

con la giusta formazione e consapevolezza, è possibile riconoscere e prevenire questi

attacchi. Se vuoi approfondire ulteriormente le tue conoscenze e mettere alla prova le tue

competenze, ti invitiamo a iscriverti alla piattaforma Nok.army (No-Kill Army), dove potrai

seguire corsi di formazione e fare quiz specifici per rimanere aggiornato e imparare a

difenderti dalle frodi informatiche.

Questo articolo ti guiderà attraverso i concetti fondamentali del phishing: cos’è, come

identificarlo, come prevenirlo e cosa fare se sospetti di essere stato vittima di un attacco.

COS'E' IL PHISHING E COME VIENE EFFETTUATO

Definizione di Phishing

Il phishing è una truffa online in cui i criminali informatici cercano di ottenere informazioni

sensibili come password, numeri di carte di credito o dettagli bancari, fingendosi enti

affidabili. Questo tipo di attacco può avvenire tramite email, SMS, telefonate o persino

messaggi su piattaforme social, ed è progettato per sfruttare la fiducia degli utenti in marchi

noti o persone a loro vicine.

Modalità di Attacco

Gli attacchi di phishing possono avvenire in diversi modi:

● Email Phishing: I truffatori inviano email che sembrano provenire da organizzazioni

note come banche o siti di e-commerce. Queste email di solito contengono link che

portano a siti web falsi o allegati dannosi.

● Spear Phishing: Una versione più personalizzata del phishing, in cui l'attaccante

utilizza informazioni personali per rendere l'email più credibile.

● Smishing e Vishing: Il phishing può anche avvenire tramite SMS (smishing) o

telefonate (vishing), in cui i truffatori contattano le vittime fingendosi rappresentanti di

istituzioni ufficiali.

● Phishing tramite Spoofing: Una variante sempre più comune in cui gli attacchi

avvengono spoofando, ovvero falsificando, numeri di telefono o indirizzi email

legittimi. Questo rende particolarmente difficile per la vittima riconoscere l'inganno.

Esempio di Frode Reale

Immaginiamo un attacco di phishing recente che ha colpito molte persone durante l’estate:

1. Spoofing del Numero della Banca: I truffatori chiamano la vittima usando un

numero che sembra essere quello della sua banca.

2. Allarme Falso: Dicono di essere dalla sede centrale e chiedono se è stato effettuato

un bonifico sospetto da una località lontana.

3. Paura e Confusione: La vittima nega, e i truffatori insinuano che i dipendenti della

sua filiale siano sotto indagine della Polizia Postale per frode.

4. Spoofing della Polizia Postale: Poco dopo, la vittima riceve una chiamata "dalla

Polizia Postale", che le consiglia di spostare i propri fondi verso nuovi conti per

"salvarli".

5. Richiesta di Bonifico: I truffatori forniscono gli IBAN e le causali da inserire (ad

esempio "acquisto auto") per evitare sospetti da parte dei dipendenti bancari

"corrotti".

6. Frode Conclusa: La vittima, presa dalla paura e fidandosi della "Polizia", esegue i

bonifici.

Questa frode è particolarmente pericolosa perché utilizza informazioni personali raccolte

precedentemente attraverso altri attacchi di phishing, come acquisti su e-commerce

compromessi, per rendere l'inganno più credibile. Più informazioni i truffatori hanno, più

l'attacco risulta convincente.

COME IDENTIFICARE UNA COMUNICAZIONE DI PHISHING

Segnali di Allarme nelle Email e nei Messaggi

Nonostante la crescente sofisticazione degli attacchi, ci sono alcuni segnali comuni che

possono aiutarti a riconoscere una comunicazione sospetta:

● Indirizzi Email o Numeri Sospetti: Anche se sembrano legittimi, spesso gli indirizzi

email o i numeri di telefono presentano piccole variazioni. Controlla attentamente il

dominio dell’email e non fidarti immediatamente di chiamate o messaggi ricevuti da

numeri che sembrano provenire da istituzioni ufficiali.

● Richieste di Informazioni Sensibili: Le istituzioni legittime non ti chiederanno mai di

fornire dati personali via email o SMS.

● Urgenza Ingiustificata: Le email o i messaggi che richiedono azioni immediate

spesso cercano di indurre una reazione impulsiva, facendo leva sulla paura.

Lo Spoofing: Quando Anche i Numeri Legittimi Possono Essere Falsi

Un aspetto particolarmente insidioso del phishing è lo spoofing, una tecnica che consente ai

truffatori di far apparire una chiamata o un SMS come proveniente da un numero legittimo,

come quello della tua banca o della Polizia Postale. Questo rende difficile per la vittima

riconoscere la truffa, perché la comunicazione sembra autentica.

COME PREVENIRE ATTACCHI DI PHISHING

Pratiche di Sicurezza Generali

● Autenticazione a Due Fattori (2FA): L'uso della 2FA aggiunge un ulteriore livello di

sicurezza richiedendo un secondo metodo di verifica oltre alla password.

● Cambia Canale di Comunicazione: Se ricevi una telefonata sospetta da parte della

tua banca, non fornire immediatamente informazioni. Invece, chiama il numero verde

ufficiale della banca o invia un’email per verificare che siano stati effettivamente loro

a contattarti.

○ Esempio: Se ricevi un SMS che sembra provenire dalla tua banca, rispondi

chiamando il numero verde ufficiale per confermare la legittimità del

messaggio.

Esempi di Prevenzione

● Verifica l’Identità del Mittente: Anche se ricevi una chiamata o un SMS che sembra

provenire da una fonte affidabile, come la tua banca, verifica sempre contattando

direttamente l’istituzione attraverso un canale ufficiale. Questo riduce il rischio di

essere ingannato da attacchi di spoofing.

COME VERIFICARE SE SI E' STATI VITTIMA DI PHISHING

Segnali di Compromissione

Se temi di essere stato vittima di phishing, puoi verificare:

● Transazioni Insolite: Controlla periodicamente i tuoi conti bancari per identificare

eventuali transazioni non autorizzate.

● Ricezione di Email o Messaggi Inaspettati: Se ricevi email o messaggi sospetti

che richiedono azioni da parte tua, è possibile che i tuoi dati siano stati compromessi.

Cosa Fare se Sei Stato Vittima

● Cambia le Password: Se hai condiviso informazioni sensibili, cambia

immediatamente le tue password, soprattutto per gli account finanziari.

● Contatta la Tua Banca: Se sospetti che le tue informazioni bancarie siano state

compromesse, contatta immediatamente la tua banca per bloccare eventuali attività

fraudolente.

● Segnala l’Incidente: In Italia, puoi segnalare l’attacco alla Polizia Postale o

attraverso il sito del Garante della Privacy.

Conclusione: La Prevenzione è la Miglior Difesa

La truffa del phishing può colpire chiunque, ma con le giuste conoscenze è possibile

difendersi efficacemente. Non dimenticare mai di verificare l’autenticità delle comunicazioni

e di non condividere mai informazioni sensibili senza prima aver cambiato canale di

comunicazione per confermare la legittimità della richiesta.

Per restare sempre al passo e migliorare le tue competenze, ti invitiamo a registrarti su

Nok.army (No-Kill Army). Qui potrai svolgere quiz formativi, mantenerti aggiornato sulle

nuove minacce e imparare come evitarle. La formazione continua è una delle chiavi per

proteggere te stesso e i tuoi dati. Non perdere questa opportunità: la tua sicurezza dipende

da te!

- il team di NoK.Army -