Cos’è il Phishing? Pescatori di dati personali

Il Garante della Privacy definisce il “phishing” come una “tecnica utilizzata per appropriarsi in modo illecito di informazioni riservate relative a una persona o a un’azienda: username e password, codici di accesso (come il PIN del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito, con l’intento di compiere operazioni fraudolente”.

Come avviene il Phishing

Solitamente la truffa avviene tramite e-mail, ma possono essere utilizzati anche sms, chat e social media.
I “pescatori” di dati personali si presentano di solito come soggetti importanti (banca, gestore di carte di credito, ente pubblico, ecc.) che invitano a fornire dati personali per risolvere determinati problemi tecnici. In genere viene richiesto l’invio diretto di dati, oppure -tramite un link- l’utente viene rimandato ad una pagina web dove è presente un form da compilare.

Con i dati così ottenuti possono fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura compiere attività illecite utilizzando il suo nome e le sue credenziali.

Come difendersi dal Phishing

Di seguito alcuni piccoli consigli per evitare di cadere nella rete dei “pescatori”.

• È essenziale il buon senso: in generale infatti, banche, enti pubblici e aziende non richiedono informazioni personali attraverso e-mail, sms, social media o chat;
• Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi capaci di prendere il controllo di pc e/o smartphone;
• Basta posizionare il puntatore del mouse su un link prima di cliccarvi sopra: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito a cui si verrà indirizzati;
• I messaggi di phishing spesso utilizzano imitazioni molto realistiche dei loghi o delle pagine web ufficiali aziende ed enti; tuttavia capita frequentemente che contengano anche grossolani errori grammaticali o di traduzione da altre lingue;
• Bisogna anche prestare attenzione al mittente del messaggio ricevuto, che potrebbe avere un nome vistosamente strano, o al suo indirizzo di posta elettronica, che spesso appare un’evidente imitazione di quelli reali;
• Non bisogna fidarsi dei messaggi intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali;
• È utile installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing;
• Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare su internet. È in ogni caso buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato (banca online, e-mail, social network, ecc.);
• Nel caso di acquisti online, è più prudente usare carte di credito prepagate o altri sistemi di pagamento che permettano di evitare la condivisione di dati del conto bancario o della carta di credito.

Su questo tema di grande impatto, il Garante ha pubblicato una scheda informativa in cui fornisce direttive utili per informare gli utenti ed aiutarli ad evitare di “essere pescati”.