Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come difendersi dal phishing

di

Continui a ricevere email sospette da qualcuno che sembra essere, ad esempio, il servizio clienti della tua banca? Beh, allora potrebbe darsi che tu sia stato vittima di phishing, cioè quella pratica che prevede di “pescare” delle vittime online per carpire loro dati sensibili (in primis password e dati di pagamento) attraverso delle email che, in molti casi, simulano gli indirizzi e l’aspetto delle comunicazioni ufficiali di banche e altre aziende note.

In effetti, non è sempre facile riconoscere a colpo d’occhio se le email sono vere o meno, dunque ho deciso di pubblicare questa guida su come difendersi dal phishing, nella quale farò del mio meglio per illustrarti cosa puoi fare sia per prevenire attacchi phishing, sia per non cadere nella “trappola” delle email false che hai eventualmente ricevuto.

Prenditi tutto il tempo che ritieni necessario, prosegui leggendo i miei consigli e cerca di metterle in pratica: in questo modo dovresti riuscire a farti un’idea migliore sui reali mittenti delle email che ricevi. Buona lettura e in bocca al lupo per tutto!

Indice

Cosa è il phishing

Come difendersi dal phishing

Prima di capire come difendersi dal phishing, è di fondamentale importanza capire cosa è il phishing e in questo paragrafo cercherò di spiegarti proprio questo.

Come accennato anche nelle battute iniziali di questo post, il phishing è una truffa informatica volta a rubare i dati personali alle ignare vittime. La particolarità del phishing è che nella maggior parte dei casi avviene tramite delle email false, nelle quali il malintenzionato finge di rappresentare un istituto di credito o qualche altro servizio che richiede dati di pagamento o credenziali di accesso.

In queste email, si viene rimandati a siti falsi — ma dall’aspetto che ricalca fedelmente quello dei siti di banche e altre aziende note — in cui viene richiesto di inserire i dati della propria carta di credito, oppure le credenziali di accesso al proprio account.

In genere, per convincere la vittima, nella email viene comunicato che un conto corrente è stato bloccato, oppure che la carta di credito è stata clonata e che per sbloccare il tutto bisogna fornire i propri dati. Naturalmente, inviando i propri dati, il malintenzionato di turno riuscirà a farsi un bel “banchetto” avendo accesso al metodo di pagamento o all’account della vittima.

Ci sono poi altre situazioni ancora, nelle quali una email falsa contiene un file malevolo da scaricare. Questo tipo di file potrebbe essere un malware, come un keylogger o un trojan, che una volta entrato nel dispositivo riesce a catturare i dati sensibili e a inviarli ai malintenzionati senza che la vittima se ne accorga.

Come difendersi da un attacco phishing

Ora che hai un’idea più chiara di cos’è il phishing, ci tengo a darti dei suggerimenti — spero utili — su come difendersi da un attacco phishing.

Verificare mittente

phishing

La prima cosa da fare per difendersi dal phishing è quella di verificare il mittente, ovvero chi ti ha mandato quella email. Anzitutto, controlla l’indirizzo email da cui proviene il messaggio di posta elettronica. Quasi tutti gli istituti di credito o comunque tutti i vari servizi online, in genere, dopo la chiocciola riportano il dominio con il nome dell’azienda. Ad esempio, un’email che arriva da Amazon ha generalmente @amazon.it o @amazon.com alla fine dell’indirizzo.

In molti casi, le email di phishing hanno un dominio differente (anche se talvolta simile a quello di aziende note, cambiando giusto qualche carattere, ad es. sostituendo una “l” con una “I”). In altri casi hanno una serie di numeri e lettere completamente casuali, e in quel caso sono molto più facili da individuare.

Esistono poi situazioni particolari in cui potresti ricevere un’email da un mittente che sembra a tutti gli effetti autentico, ma che in realtà si tratta sempre di un attacco fraudolento. Ecco che in queste situazioni si parla di spoofing e tutto ciò che ti ho detto nei paragrafi precedenti non si applica al fine di individuare una email spoofing. Non ne hai mai sentito parlare? Beh, allora ti spiego meglio di cosa si tratta.

Lo spoofing consiste nel camuffare l’indirizzo email del mittente per fare in modo che chi riceva il messaggio di posta elettronica veda come mittente, ad esempio, l’indirizzo email della propria banca o di una persona fidata. Tuttavia, ci tengo a farti dormire sonni tranquilli e a non dubitare di qualunque email tu riceva, perché molti servizi di posta, come Gmail e Outlook, hanno ormai adottato alcuni standard di sicurezza che non fanno recapitare email di questo genere o che al massimo le fanno arrivare direttamente nella cartella spam del ricevente.

Tuttavia, ricordati sempre che, benché un messaggio di posta sembri autentico e sembri arrivare da un indirizzo email valido, nessun istituto di credito e nessun servizio online ti chiederà mai di condividere dati personali attraverso email o cliccando su un link all’interno di una email. Se, quindi, dovessi ricevere un messaggio di posta elettronica da un indirizzo email che sembra proprio quello della tua banca e ti viene richiesto di inserire i tuoi dati di accesso alla tua home banking, molto probabilmente sei stato vittima di un attacco spoofing.

Per evitare lo spoofing, puoi controllare l’intestazione (o header) del messaggio di posta elettronica che hai ricevuto, al fine di accertarti che quel messaggio provenga davvero dal mittente originale. Ti spiego qui di seguito come vedere l’intestazione di un messaggio in vari servizi e client di posta elettronica. In linea di massima, quello che devi fare è verificare che l’indirizzo email del mittente sia uguale a quello che leggi nell’intestazione alla voce Da: [indirizzo email] (a volte potrebbe esserci scritto From: [indirizzo email]).

  • Gmail — dopo aver aperto l’email, seleziona il pulsante con i tre puntini in alto a destra nel riquadro del messaggio e seleziona la voce Mostra originale dal menu che ti appare.
  • Thunderbird — apri l’email, clicca sulla voce Visualizza nel menu in alto e poi scegli Sorgente del messaggio.
  • Outlook.com — una volta aperta l’email desiderata, seleziona il pulsante contrassegnato dalla freccia rivolta verso il basso che si trova in alto a destra. Ora nel menu a tendina che si apre, scegli Visualizza dettagli messaggio.
  • Apple Mail — seleziona la mail in questione, vai alla voce Vista dalla barra dei menu, clicca su Messaggio e infine su Tutte le intestazioni.
  • Yahoo Mail — seleziona la email, fai clic sul menu Altro, che si trova in alto a destra e poi su Visualizza messaggio non elaborato.
  • Libero Mail — apri l’email che ti interessa e fai clic sulla voce Altro, poi nel menu a tendina che compare seleziona Visualizza sorgente.

Dopo che sei riuscito a visualizzare l’intestazione del messaggio di posta elettronica, potresti altresì verificare l’indirizzo IP del provider del mittente. Questo indirizzo potrebbe tornarti utile per segnalare l’attacco malevolo al provider di posta elettronica da cui è partita quella email. Maggiori informazioni le puoi trovare anche nella mia guida su come trovare indirizzo IP di una persona.

Errori grammaticali

Email

Molto spesso, le email di spam contengono errori grammaticali od ortografici nel testo del messaggio. Salvo particolari casi, le email autentiche sono sempre scritte in modo corretto e chiaro. Dunque, valuta anche questo fattore per far scattare i tuoi campanelli d’allarme.

Non scaricare allegati né cliccare su link

allegati

Come ti ho già anticipato nel primo paragrafo di questa mia guida, una cosa che non dovresti mai fare quando ricevi un’email di phishing è quella di scaricare allegati o di cliccare su un link all’interno della email. Ti spiego ora il tutto più in dettaglio.

Per quanto riguarda la questione degli allegati, devi sapere che questi potrebbero sembrare dei semplici file da scaricare, ma che in realtà sono dei malware, spyware o altri tipi di file volti a estorcere dati sensibili. In alcuni casi, a una email falsa viene allegato un file .exe oppure anche file che sembra essere un file Excel o PDF che, una volta aperto dalla vittima, potrebbe infettare il computer o comunque il dispositivo in uso.

In merito al discorso dei link da cliccare, accertati sempre che il link sia sicuro. Alcuni link potrebbero portarti, come ti ho già detto, a siti falsi o addirittura a pagine dove partono dei download automatici di file malevoli. Ti ricordo che da computer puoi sempre vedere a dove porta un collegamento ipertestuale, semplicemente passando il cursore del mouse sopra e senza cliccarci. In genere, ti viene mostrato il link di destinazione in basso a sinistra. Su dispositivi mobili, puoi invece fare un tap prolungato sul collegamento al sito, per visualizzare a schermo l’indirizzo a cui porta.

In linea di massima, dunque, prima di scaricare un allegato o di cliccare su un link all’interno di una email, devi sempre accertarti anzitempo che il mittente sia autentico e affidabile.

Non condividere informazioni riservate

informazioni

Un’altra azione per difendersi dal phishing è, ovviamente, quella di non condividere informazioni riservate. Certe volte, alcune email di phishing potrebbero essere molto semplici e molto credibili, riportando magari anche il logo del tuo istituto di credito o di un altro servizio. In queste email potrebbe venirti semplicemente richiesto di rispondere al messaggio inserendo alcuni tuoi dati personali.

Ricordati sempre che, e questo vale per praticamente tutti i servizi online, nessuno ti chiederà mai di rispondere a un messaggio inserendo le tue credenziali. Quindi, se ciò avviene, si tratta quasi sicuramente di una truffa online.

Usare software di sicurezza

Come proteggersi dai virus

Come ti ho accennato poco fa, non esiste un modo per diventare totalmente immuni agli attacchi phishing. Tuttavia, ti informo che esistono alcuni software di sicurezza che offrono un filtro antiphishing che potrebbe aiutarti a individuare le email sospette e a segnalarti i link a siti falsi. Tra questi software, ci sono molti antivirus e antimalware. Al girono d’oggi ci sono anche molti servizi di VPN che includono funzioni di sicurezza per bloccare malware e altre minacce online: alcuni esempi in tal senso sono NordVPN (la mia recensione qui) e Surfshark (la mia recensione qui), che offrono una copertura trasversale tra dispositivi e sistemi operativi e garantiscono l’uso di numerosi server sicuri (e veloci) disseminati in tutto il mondo.

Molti di questi software di sicurezza, offrono un blocco degli URL. In pratica, grazie a questa funzione, quando proverai a cliccare su un link che in realtà è malevolo, il software di sicurezza interverrà e ti segnalerà la cosa impedendoti di procedere o avvisandoti e dandoti la possibilità di decidere se procedere a tuo rischio o meno.

Comunque sia, devi sapere che molti servizi di posta come Gmail o Outlook contengono dei filtri antispam che difendono molto bene anche dal phishing.

Ci tengo poi a dirti che molti filtri offerti dai software di sicurezza o dai client di posta, funzionano analizzando il testo della email per verificare se corrisponde a un modello di email phishing oppure fanno un’analisi dei link per controllare se questi compaiono in database segnalati già da altri utenti come siti di phishing. Un’altra azione ancora che questi software svolgono, è quella di controllare anche l’indirizzo email del mittente al fine di verificare se è attendibile.

Tieni sempre presente che i filtri non sono infallibili e infatti potrebbe capitare che a volte risultino dei falsi negativi o dei falsi positivi e che quindi alcune email “innocenti” vengano classificate come phishing e viceversa. Proprio per questo motivo, il modo migliore per difendersi dal phishing è sempre quello di avere consapevolezza sull’argomento e non affidarsi solamente a un software di sicurezza.

Attivare l’autenticazione a due fattori

Come difendersi dal phishing

Se, purtroppo, sei già caduto nella trappola di una email phishing, c’è ancora una cosa che potrebbe salvarti ed è l’autenticazione a due fattori, spesso abbreviata in 2FA. Se non sapessi di cosa sto parlando, l’autenticazione a due fattori è un sistema di sicurezza che consente di fare l’accesso a una determinata piattaforma solo dopo aver immesso le giuste credenziali e aver dato poi l’autorizzazione tramite un altro dispositivo via notifica push o tramite un altro account email oppure via SMS da cellulare.

Grazie alla 2FA, anche se il malintenzionato dovesse riuscire a ottenere le tue credenziali di accesso, non potrà comunque riuscire ad avere accesso al tuo account, dato che non ha a disposizione il secondo fattore d’autenticazione.

Naturalmente, la 2FA è uno strumento di prevenzione e non di cura, questo vuol dire che non ti servirà a molto attivarla dopo che sei già stato vittima di un attacco phishing. O meglio, può sempre tornare utile attivarla anche dopo, ma solo per prevenire ulteriori attacchi futuri. Per maggiori informazioni su come attivare il 2FA, ti rimando alla mia guida tematica.

Laddove possibile, e se il tuo dispositivo le supporta, potresti pensare anche di abilitare le passkey in luogo delle classiche password, le quali consentono l’accesso ai propri account solo previa autorizzazione con un proprio device.

Cosa fare dopo un attacco phishing

Logo Polizia Postale

Se dopo tutti i miei consigli se ormai certo che la email che hai ricevuto è una email phishing, allora ti indico qui di seguito quali potrebbero essere alcuni passaggi ulteriori che potresti compiere.

Anzitutto, ti invito a contattare l’azienda o l’istituto di credito di cui hai fornito i dati ai malintenzionati: molto spesso, soprattutto le banche, godono anche di un indirizzo email o di una sezione del sito dedicata alla segnalazione di email phishing.

Un’altra cosa che potresti fare, è quella di esporre denuncia alle autorità e in particolar modo alla Polizia Postale. Per fare ciò, potresti recarti su questa pagina del sito ufficiale della Polizia Postale, compilare il modulo, scegliere nel menu a tendina Argomento la voce Phishing, cliccare su Non sono un robot e poi su Invia la segnalazione.

Infine, ricorda di cambiare la password di accesso dell’account coinvolto, se riesci ancora ad accedere allo stesso. In caso contrario, rivolgiti sempre ai servizi di supporto ufficiali e alle autorità per cercare di rimediare al problema, o quantomeno di ridurre i danni.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.