Vi ricordate da piccoli quando i vostri genitori vi dicevano sempre di non accettare le caramelle dagli sconosciuti?
Ebbene non è cambiato molto da allora.
L’unica differenza però è che nella maggior parte dei casi adesso siamo noi a dir loro di non accettare “dolcetti virtuali” da sconosciuti.
Tempi diversi ma rischi simili.
Non verremo rapiti noi personalmente però vedremo volare via i nostri risparmi verso qualche conto sperduto in qualche regione remota del pianeta.
E questo è un rischio più che concreto credetemi.
Che cos’è il phishing?
Sicuramente l’avrete letto pressochè OVUNQUE se avete un conto corrente, una casella di posta, un account amazon, ebay, netflix ecc. ecc. ma ve lo spiego in poche parole:
Il phishing è “l’arte” di carpire le vostre credenziali d’accesso a un servizio.
Lo scrivo tra virgolette perché nella mia lunga carriera di informatico, ho visto cose che voi umani non potete neanche immaginare. E non erano Navi da combattimento in fiamme al largo dei bastioni di Orione. Erano un mix di ingegno e furbizia e meritavano d’essere catalogate come opere d’arte.
Ci casca la gente direte voi? Credetemi ci cascano in parecchi altrimenti non sarebbe ancora così praticato.
Come fanno ad ottenere i codici d’accesso altrui?
Pensateci. Cosa abbiamo di personale che ci permette di relazionarci con gli altri in ambito informatico e non?
Esattamente: numero di telefono, email e profili sui social network.
Tramite questi canali, utilizzando tattiche più o meno elaborate, riescono ad estorcere i dati necessari che verranno poi rivenduti a terzi per compiere delle vere e proprie truffe a danni vostri o altrui.
Come facciamo o sommo Matteo a riconoscere questi tentativi di phishing?
In primis vi consiglio caldamente di leggere prima l‘articolo su come riconoscere un email o un sito affidabile.
Viene spiegato in modo semplice e coinciso cosa è un dominio e come ci può aiutare ad evitare di incappare in qualche truffa telematica.
LEGGETELO!
In secundis un modo universale per riconoscere una fregatura c’è.
Vi sarà stato ripetuto decine e decine di volte in tutte le salse ma pare che continuate a non capirlo:
Nessun istituto di credito o servizio che sia, vi manderà mai un email, un sms, un avviso sul browser, sui social o, un messaggio o una telefonata che vi informa che nel vostro conto sono presenti anomalie o è stato bloccato. Nessuno!
E guarda caso in questi messaggi truffaldini è sempre presente un link che magicamente vi porta a un sito fotocopia che ha come unico scopo quello di rubarvi le credenziali che immetterete.
Se avete comunque dei dubbi CONTATTATE LA VOSTRA FILIALE\ASSISTENZA CLIENTI DEL SERVIZIO IN QUESTIONE.
NON FATE MAI L'ACCESSO AL SERVIZIO USANDO IL LINK CONTENUTO NEL TESTO DEL MESSAGGIO O DELL'EMAIL
In quale altro modo ve lo devo scrivere? Di solito le banche o la posta vi inviano una lettera via posta tradizionale.
Se proprio qualcosa non va, vi contattano invitandovi a recarvi in filiale.
NON VI CHIEDERANNO MAI DATI SENSIBILI VIA TELEFONO, POSTA ELETTRONICA O SMS.
Spesso mi capita di sentire persone giustificarsi con: “ehhh lo so ero di fretta e ci sono cascato\a, sarebbe potuto capitare anche a te!”.
Sarebbe potuto capitare anche a me col cazzo! So già in partenza che questi mezzucci sono tutti tentativi di frode e riconosco al volo il phishing.
Sarebbe potuto capitare anche a me col piffero! So già in partenza che questi mezzucci sono tutti tentativi di frode e riconosco al volo il phishing.
Ora nel dettaglio tutte le tattiche che questi sub-umani tirano fuori per cercare di spillarci quanti più soldi e informazioni possibili.
Sarà una bella sfida cercare di non infrangere nessun copyright per quanto riguarda gli screenshot d’analizzare, visto che non subisco nessun tentativo di raggiro da mesi (giuro. Sembra incredibile ma è così).
I tentativi di phishing via email sono un evergreen. Devo dire però che rispetto a tempo fa hanno subito un drastico calo (o perlomeno in nessuna delle mie email arrivano).
Che sia un messaggio di posta elettronica che sembra provenire da istituti di credito, piattaforme e-commerce, servizi di streaming o altro, hanno tutte un minimo comune denominatore: quello di invitarvi a cliccare su un collegamento che riporta a una pagina per convincerci a inserire i vostri dati d’accesso.
“Il vostro conto è stato disattivato perche non lo avete utilizzato nel mese passato.”.
Ma per favore…
Sappiate che esiste un modo per riconoscere un’email farlocca che funziona nel 99% dei casi: quello di controllare il mittente.
SMS
Detto anche SMiShing sta prendendo sempre più piede per via del crescente utilizzo dei dispositivi mobile rispetto ai comuni computer desktop e portatili.
Dovrebbe essere ancora più semplice riconoscerli perché l’URL che ti invitano a cliccare è bello in chiaro e senza fronzoli e invece no, la gente continua a cascarci:
Bel tentativo. Un urlshortener…
Telefono
Ricevete una telefonata da parte di un sedicente impiegato del vostro istituto bancario che vi informa che ci sono anomalie sul vostro conto? Potrebbe anche essere. O potrebbe essere che state subendo un tentativo di Vishing. Se l’impiegato fosse veramente un dipendente del vostro istituto di credito, vi inviterebbe a recarvi presso la vostra filiale per risolvere le incongruenze contrattuali e non vi chiederebbe di sicuro dei dati d’accesso che già lui dovrebbe conoscere (vi ricorda qualcosa questa procedura? Esatto, quella dei call center truffaldini).
Il tono di voce rassicurante, calmo e professionale è tutto un trucco per guadagnare la vostra fiducia e rendere le cose più facili (per lui).
Questa truffa è molto in voga all’estero ma sta rapidamente prendendo piede anche in Italia per cui vi consiglio di avvisare i vostri cari di non dare confidenza a questo tipo di gentaglia.
Dite loro di troncare immediatamente la telefonata.
Qual è lo scopo di tutto questo? Se clicco sui link ricevuti che succede?
Succede che verrete catapultati magicamente in un sito tale e quale a quello del vostro istituto di credito\servizio e se inserite username e password, questi dati saranno salvati su qualche database sperduto. Successivamente i criminali potranno fare il buono e il cattivo tempo con le vostre finanze o peggio.
Tutto molto bello ma per autorizzare gli acquisti serve un codice che mi arriva via SMS altrimenti s’agganciano!
Lo scopo è quello infatti, ma… C’è sempre un ma.
Avete ricevuto un messaggio contenente un numero verde che vi informa di contattare immediatamente la vostra banca per dei problemi gravi sul vostro conto? Brutto sintomo. Sappiate che quel numero verde NON E’ quello della vostra banca.
Quello che succederà è che durante la vostra conversazione:
1) vi arriverà un sms contenente un codice detto OTP (one time password) che è appunto il codice per autorizzare un acquisto.
2) La persona dall’altra parte del telefono ve lo dirà questo? Manco morto. Anzi, vi dirà che sarà il codice di verifica di vitale importanza per poter sistemare o mettere in sicurezza il conto o chissà quale altra stronzata.
3) Vi ritroverete magicamente con svariate centinaia se non migliaia di euro in meno.
Come fanno ad avere i vostri dati? Glieli avete forniti voi inserendoli in un sito civetta oppure (cosa mooolto improbabile) il vostro istituto finanziario è stato vittima di un attacco informatico.
Aggiungo inoltre che se fornirete il codice OTP a terzi, molto probabilmente le banche non vi rimborseranno il maltolto.
Se ne laveranno le mani incolpando voi stessi dell’accaduto.
Non mi sento di dar loro torto più di tanto, lo ricordano praticamente SEMPRE di non trasmette i codici personali ad altre persone.
Il phishing è un tentativo subdolo e meschino ma fate come vi hanno detto da piccoli: non accettate caramelle dagli sconosciuti.
Condividi