Phishing: che cos'è?

  Articoli (Articles)
  Redazione
  16 February 2021
  4 minutes, 22 seconds

Il principale metodo di insinuazione nei sistemi informatici è il phishing.

Il phishing (dal vocabolo inglese "fishing", letteralmente "pescare") è un approccio subdolo utilizzato dagli hacker per spingere gli utenti a rivelare informazioni personali, quali password o dati delle carte di credito o dei conti correnti bancari.

Nel 2016 ci fu uno dei primi casi di prelievo fraudolento di dati personali, il cosiddetto ‘caso Occhionero’ dal cognome dei due fratelli, Giulio e Francesca Occhionero appunto, che tenevano sotto controllo le caselle di posta elettronica ricavando e-mail e password di alcuni membri del governo italiano.

Internet Live Stats, portale che monitora in tempo reale i numeri della rete, mostra che in totale, nel mondo, vengono inviate all’incirca 2,7 milioni di mail al secondo, 227 miliardi ogni giorno, di cui il 95% sono spam (posta non richiesta).

Ciascuno di noi riceve ogni giorno mediamente circa 50 mail, perciò l’attenzione che una persona dedica alla loro apertura è sempre minore. Questo è il motivo principale per cui la posta elettronica è lo strumento migliore di phishing. Generalmente inoltre il messaggio è mandato nel momento della giornata in cui l’attenzione è ancora minore, spesso il venerdì nel tardo pomeriggio con l’oggetto ‘URGENTE’.

I messaggi di phishing sembrano provenire da società legittime come PayPal o UPS o ENEL o SKY, enti governativi o istituti bancari. Si tratta in realtà di una vera e propria truffa elaborata.
Ma che cos’è una truffa? La truffa è un reato comune, cioè che può essere commesso da chiunque. L’elemento soggettivo del delitto è il dolo generico, consistente nella coscienza e volontà di indurre con artifici taluno in errore, spingendolo a compiere un atto di disposizione patrimoniale al fine di arricchirsi ingiustamente.

Dal punto di vista normativo il nostro sistema penale non prevede una norma specifica che contempli il phishing. Per questo motivo tale condotta criminosa non costituisce ancora ipotesi punibile singolarmente, ma oggi è punito attraverso l’applicazione dell’art. 640-ter c.p. comma 3.

Solitamente nelle mail di phishing si richiede gentilmente di effettuare aggiornamenti, convalidare o confermare le informazioni contenute nel proprio account, spesso suggerendo la presenza di un problema. Per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato astutamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali. I messaggi di phishing potrebbero avvenire anche tramite DM con un account verificato Instagram (finto) con allegato un link tramite cui vengono prelevati i nostri dati di accesso.

Esistono due tipologie principali di phishing: truffa alla nigeriana e spear phishing.

  1. Truffa alla nigeriana: vengono mandate milioni di mail nella speranza che qualcuno ci caschi e consiste nell’ingannare la vittima spacciandosi per una persona facoltosa che, per problemi burocratici, non riesce a sbloccare un’ingente somma di denaro che gli deve essere resa ma che si trova momentaneamente presso un istituto di credito. Per favorire l’operazione di trasferimento, il truffaldino chiede alla vittima di anticipare una modesta somma di denaro dietro la promessa che, al termine della vicenda, verrà restituita con lauti interessi. Altrettanto ovvio è, però, che nulla verrà reso e che si tratta di una truffa. Non possediamo le percentuali di riuscita perché molti utenti per vergogna non ammettono di essere stati truffati. Viene definita truffa alla nigeriana perché le prime manifestazioni di questo tipo di reato sono avute proprio nel Paese africano. Tale truffa viene anche definita 419 Scam, in riferimento all’articolo di legge del Codice Penale che la punisce in Nigeria.
  2. Spear phishing: prende di mira una persona in particolare (es. amministratori delegati) o un gruppo di persone (es. società). Questo tipo di truffa ha alte possibilità di riuscita perché la persona viene attentamente studiata e la mail viene elaborata su misura. In questo caso non si parla di dati personali, ma di dati aziendali o finanziari.
  3. Controllare attentamente nome e indirizzo del mittente;
  4. Fare attenzione alle formule di apertura dell’e-mail: se un messaggio comincia con ‘Gentili signori e signore’ o altre formule standard, dovreste chiedervi perché il vostro istituto di credito o un’altra società non sappia il vostro nome;
  5. Controllare se ci sono errori di grammatica e ortografia;
  6. Controllare i link inseriti nella mail;
  7. Non trasmettere mai i dati personali via e-mail;
  8. Fare attenzione agli allegati.

È di questi giorni il caso di Corrado Augias, il quale ha condiviso sulla sua pagina social ciò che gli è capitato: si è trovato a rispondere a una mail mal scritta dell’Enel dove gli veniva rimproverato un debito di circa 92 euro. È chiaro che si trattasse di una mail di phishing. Quello di Augias è solo una delle migliaia di truffe online che si verificano quotidianamente: solo nel 2020 i casi di phishing registrati sono stati 98 mila.

Come riconoscere il phishing?

A cura di Maria Cristina Prisco

Le fonti utilizzate per il seguente articolo sono liberamente consultabili:

https://www.avast.com/it-it/c-phishing

https://www.open.online/2021/01/31/mail-enel-augias-phishing-problema-con-educazione-digitale/?refresh_ce-cp

https://www.laleggepertutti.it/191140_truffa-alla-nigeriana-come-difendersi

https://www.kaspersky.it/resource-center/definitions/spear-phishing

https://www.commissariatodips.it/approfondimenti/phishing/phishing-che-cose/index.html

Il phishing ed il suo inquadramento nel diritto penale italiano (studiocataldi.it)

https://unsplash.com/it/foto/O...

Share the post

L'Autore

Redazione

Categories

Tag

phishing

Potrebbero interessarti