Phishing, che cos’è e come difendersi in caso di attacco

Attacco su attacco, evoluzione dopo evoluzione, il phishing continua a imperversare online. Ma ci si può provare a difendersi. Ecco come.

“Se conosci il nemico e te stesso, la tua vittoria è sicura”. Prendere spunto dalla mitica Arte della Guerra di Sun Tzu è un buon punto di partenza. Sì perché su internet c’è una guerra in attacco. E i cattivi sono sempre un passo avanti sui buoni.

I cattivi online vengono chiamati hacker, cyber criminali: inondano il Play Store (ma anche App Store ha il suo bel da fare) di malware di ogni tipo, creando davvero il panico. Nel 2021 c’è stato il record di attacchi. È durato pochissimo.

Il 2022 ha visto l’abbattimento di quel record e quasi tutti gli analisti ed esperti di sicurezza concordano sul fatto che a fine 2023 il primato (in negativo) verrà ritoccato. Non resta che conoscere in primis il nemico.

Phishing, se lo conosci lo eviti. Tutti i modi per stare alla larga

L’etimologia della parola è un verbo ovviamente in accezione positiva, sono in tanti quelli che adorano pescare: rilassa e arreca gioia. In questo caso phishing è tutto il contrario, in quanto grazie all’uso di tecniche sempre più sofisticate, si pesca sì, ma dati finanziari, credenziali e password di un utente. Spesso effettuato tramite e-mail, anche se ora la truffa si è diffusa su WhatsApp e sui social, perfino tramite telefonate, oltre che con i servizi di messaggistica SMS (in questo caso è noto come “smishing”, ma cambia poco): insomma, è un attacco hacker per indurre l’utente a fare ciò che vuole il il cyber criminale.

Consegna di dati sensibili, credenziali e password per rendere più semplice l’hacking di un’azienda o di una persona o dell’invio di pagamenti a truffatori invece dell’account corretto. Tutte informazioni che vengono rubate facendo richieste che sembrano del tutto legittime, come un’e-mail del tuo capo, o un sms della tua banca. Ma nel corso degli anni il phishing è anche un metodo popolare utilizzato da hacker e cyber criminali per diffondere malware, soggiogando le vittime che scaricano un collegamento dannoso che installerà un payload dannoso in grado di distribuire malware, ransomware o qualsiasi altro tipo di attacco.

Una volta che abbiamo conosciuto il phishing, sempre per restare su quella epica frase di Sun Tzu, dobbiamo conoscere noi stessi. Noi siamo i migliori difensori, a patto che verifichiamo quella mail prima di cliccare, magari guardando se dopo la chiocciola c’è il mittente dell’oggetto. Controllare con attenzione l’intestazione, ricordarsi che nessuna banca può chiederti dati personali attraverso un link. Idem per le compagnie telefoniche, la posta, Apple o Samsung, Google o Microsoft: nessuno può farlo. Un altro metodo di difesa contro il phishing è accertarsi che davvero quelle mail provenga davvero dal mittente originale. Come? Su Gmail basta andare sui tre puntini in alto a destra, clic su Mostra originale, così “la vittoria è sicura”.