Moltissime persone sono state, almeno una volta, vittime di un tentativo di phishing. Non tutti però sanno cos’è il phishing e sicuramente in molti hanno rischiato di caderci senza nemmeno rendersene conto.

Il phishing è un atto fraudolento che consiste nell’indurre le persone a fornire dati sensibili di vario tipo. Solitamente chi fa phishing mira ad ottenere i dati relativi al conto corrente o alla carta di credito, ma esistono anche tentativi di phishing mirati ad ottenere altri tipi di dati, come ad esempio i dati di accesso a Facebook o alla casella di posta elettronica.

Lo strumento attraverso il quale viene sferrato un attacco di phishing è solitamente l’e-mail. Per fare un esempio pratico, prenderemo il caso di un tentativo di phising mirato ad ottenere i dati di accesso all’area riservata del sito di una banca. La vittima riceve un’e-mail che riproduce fedelmente la grafica utilizzata di solito dalla banca. L’e-mail invita l’utente a collegarsi al sito della  banca, per verificare la situazione del suo conto e confermare la validità di alcuni movimenti di denaro sospetti. Se la vittima non è cliente della banca in questione capirà subito che si tratta di qualcosa di losco ma se invece è cliente sarà sicuramente spinto a seguire ciò è scritto nell’e-mail, seguendo il link riportato nel messaggio di posta. Cliccando sul link l’utente si troverà di fronte ad una pagina identica all’originale pagina di accesso del sito della banca e inserirà i suoi dati. Ecco fatto, il tentativo di phishing è andato a buon fine. Quella infatti non era la vera pagina di accesso del sito della banca, era una pagina creata per scopi fraudolenti ed ha catturato i dati digitati. Molto spesso una vittima di phishing non si rende neanche conto di cosa è avvenuto. Di solito infatti dopo aver inserito i dati di accesso e premuto sul tasto di log in, l’utente viene reindirizzato alla vera pagina di accesso della banca: in questo modo egli crederà che il log in non è avvenuto perché ha sbagliato ad inserire la password e rieffettuerà di nuovo il log in, questa volta dalla pagina originale. Una volta dentro si accorgerà che non c’è nulla di anomalo sul suo conto e riterrà la faccenda chiusa.

Il phishing è una tecnica semplice da mettere in atto e che di solito ha una grande probabilità di successo.  Quali sono quindi le misure anti phishing che un utente del web può mettere in atto? La vera misura anti phishing è una sola: l’attenzione. Prestando un po’ di attenzione sarà semplicissimo riconoscere un’e-mail fasulla da una originale. Per prima cosa occorre fare attenzione all’indirizzo e-mail del mittente che sarà certamente molto simile, ma non identico a quello originale della banca. Un altro indizio inequivocabile è l’indirizzo della pagina web nella quale si atterra seguendo il link presente nell’e-mail: anche in questo caso ci sarà una certa somiglianza con l’indirizzo originale, ma non potrà mai essere identico.

Insomma, contro il phising la migliore arma è l’attenzione. Per essere sicuri al 100% però è bene dotarsi di un software anti-phising, in grado di intercettare le e-mail fraudolente e di mettervi quindi al riparo da ogni pericolo.