Nonostante i progressi tecnologici e i passi avanti fatti nella protezione dei dati personali, il fulcro delle truffe online rimane sempre e solo uno: noi utenti! I cyber criminali lo sanno e, nelle loro operazioni di phishing, sfruttano da sempre le tecniche psicologiche più comuni per fare breccia nella vostra mente. Nei loro messaggi mostrano un tono autorevole, fanno leva sui sentimenti di colpa, panico, ignoranza, desiderio, avidità e compassione.
Per questo, il più metodo più comune per rubare i dati, svuotare i vostri conti correnti e rendervi la vita un inferno è sempre il phishing. Secondo il report redatto dal Clusit, l’Associazione Italiana sulla Sicurezza Informatica, nel biennio 2015-2016 questo tipo di pratica ha conosciuto rialzi del 1160%. Nel 2017, poi, la crescita è continuata. Il phishing ha trovato nuovi terreni fertili tra le nuove tecnologie (come IoT), affiancato in classifica dai ransomware.
Come funziona il phishing nell’era digitale
Detto che l’animo umano per natura tende a fidarsi e a cercare sicurezza negli altri, diventa facilmente una preda. Gli hacker contano su questo e su un generale basso livello di attenzione delle vittime.
Il phishing non è generalmente un attacco mirato a una sola persona, e punta infatti a colpire il maggior numero di vittime utilizzando strumenti di comunicazione ad ampio spettro. I messaggi di posta elettronica sono i prediletti, e sono confezionati ad arte per pescare più utenti possibili. Le email spesso contengono degli allegati con nomi contraffatti per sembrare innocui, al cui interno si nascondono spesso programmi back door, malware o link verso siti web pericolosi.
I link sono altresì molto dannosi, anche se l’indirizzo sembra essere sicuro. Se li aprite potreste finire su finti siti di banche, siti di scommesse finti, provider email, etc. I criminali sono in grado di assumere qualsiasi identità, mascherandosi da aziende o enti raccomandabili: tutto pur di rubare le credenziali dell’utente nel caso venissero digitate.
Non bastano programmi antivirus o anti-malware per difendersi. Oggi anche i falsi siti web costruiti dagli hacker per ingannare gli utenti dispongono dei tipici certificati SSL validi (la cosiddetta https davanti alla URL). L’indirizzo del sito comparirà quindi con il lucchetto verde e la vittima, rassicurata da quel colore verde, tende a fidarsi dell’autorevolezza mostratagli. E addio al conto corrente online.
In realtà, purtroppo, i certificati SSL si possono avere gratuitamente. Accade poiché il senso del SSL è garantire che i dati scambiati tra il server e il client siano criptati. Dunque non è minimamente contemplata la bontà di ciò che viene scambiato.
Quindi attenzione a ciò che ricevete in posta in arrivo. Se vi sfiora un minimo dubbio, non leggete il messaggio e cancellatelo. Se lo riceverete ancora, spostatelo nella cartella spam.