Nella maggior parte degli incontri che mi capita di avere con clienti e prospect, emerge la tematica del Phishing. Le aziende sanno della sua esistenza, ma hanno informazioni molto frammentate e poco funzionali sull’argomento. 

Cercherò di fare chiarezza.

Il phishing non è altro che una truffa digitale, un tentativo fraudolento di impossessarsi dei dati sensibili degli utenti. Avviene principalmente tramite email ingannevoli che, utilizzando il nome o il logo di aziende note, richiedono l’inserimento di username, password, codici fiscali o addirittura codici di accesso ai conti bancari. Se si assecondano queste richieste, i dati inseriti entreranno in possesso di hacker che li utilizzeranno per furti d’identità o pagamenti non autorizzati. Il phishing può avvenire su diverse piattaforme e con modalità sempre nuove. Tuttavia, ci sono dei tratti distintivi che ci aiutano a identificarlo. 

Il phishing è un problema che riguarda tutti i browser e i provider di servizi email. La stessa Google ha messo a punto un sistema di sicurezza – chiamato Google Safe Browsing. Questo servizio analizza le pagine web alla ricerca di quelle contenenti programmi o script potenzialmente pericolosi: ogni URL infetto viene quindi registrato nel database di Google ed entra a far parte di una sorta di libro nero e resta virtualmente inaccessibile. Ma oltre al software del colosso americano esistono altri accorgimenti che posso consentirvi di navigare più sicuri:

  • Mantenere il browser aggiornato: installando le ultime versioni e inserendo dei filtri anti-spam, il browser riuscirà a prevenire un maggior numero di tentativi di phishing.
  • Controllare il dominio: una società o un ente scriverà sempre con il proprio dominio, controllate che corrisponda a quello ufficiale. Questa verifica non dà la massima garanzia di autenticità, ma rappresenta un primo controllo da poter fare. Nel caso poi venga richiesto il click su un link, è utile verificare il dominio al quale il link fa riferimento.
  • Prima di cliccare “Unsubscribe” pensaci: in ogni caso, prima di cliccare è meglio pensarci due volte. Nelle email di SPAM, se compare un link con su scritto “Unsubscribe” o “Annulla Iscrizione” nel corpo della email, molto probabilmente si tratta di phishing, e aprire quel link potrebbe essere una scelta sbagliata.
  • Evitare le scorciatoie: se viene richiesto di rinnovare un servizio in scadenza, è meglio non usare i link presenti nella email per farlo. Nel caso in cui la email dovesse sembrare attendibile, ci si può collegare al sito in questione direttamente dal browser, senza usare le scorciatoie proposte. Entrati nel portale, si potrà controllare se i propri abbonamenti siano da rinnovare o meno.
  • Utilizzare più indirizzi email: quando ci si iscrive a servizi o siti web, di dubbia affidabilità, è preferibile utilizzare email secondarie, in modo da non rischiare di contaminare la nostra casella email principale;
  • Contattare il servizio clienti: se arriva una email ambigua, e non si capisce con certezza se sia una frode o meno, è meglio contattare il servizio clienti dell’azienda. Sapranno sicuramente chiarire ogni dubbio!

Cosa fare dopo un attacco phishing

  • Bloccare gli account: se si cade vittima di un attacco phishing, la prima cosa da fare è bloccare immediatamente l’account vittima dell’attacco.
  • Cambiare la password: nel caso di portali online, bisogna cambiare la password o chiudere direttamente il profilo prima che gli hacker possano accedervi.
  • Contattare il servizio clienti: qualora l’account sia già stato compromesso e non sia più possibile fare il login con i propri dati, è necessario contattare il servizio clienti per ripristinare manualmente i vostri dati d’accesso.
  • Contattare la banca: nel caso di furto di dati bancari invece, va contattato l’istituto di credito per bloccare i servizi coinvolti nella truffa (carte di credito, conti correnti, bancomat, …).
  • Avvisare gli enti colpiti: oltre al recupero dei dati personali, è opportuno segnalare l’attacco phishing agli enti che ne sono stati colpiti, cosicché possano prendere provvedimenti e contrastare la truffa.

Il passo successivo, invece, è informare le autorità competenti.

Come segnalare un phishing in corso

Il phishing, sebbene possa sembrare una semplice email ingannevole, è un reato vero e proprio, e come tale va considerato. Nonostante non sia previsto dall’ordinamento penale, il phishing oggi viene giudicato come frode informatica e furto d’identità digitale.

In quanto reato informatico inoltre, va comunicato alla Polizia Postale, che sul suo sito ha disposto uno spazio per le segnalazioni di questo tipo. La stessa Polizia Postale, sul suo portale, raccoglie gli avvisi ricevuti e classificati come phishing. Consultando questa pagina è possibile farsi un’idea sui tentativi di frode in corso, ed eventualmente avere la conferma che le email ricevute fanno parte di quella categoria.

Infine, ma decisamente più importante, c'è il Garante per la Privacy. Quando si subisce un attacco come il pishing, è assolutamente necessario poter determinare se siano stati sottratti dei dati. Riporto uno stralcio della normativa GDPR:

"...Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche."

E' quindi di assoluta importanza dotare la propria infrastruttura di sistemi idonei a determinare qualsiasi tipo di evento generato dal sistema informatico (Incident Recorder).

Un rischio che si può evitare con semplici accorgimenti

In conclusione, esiste una grossa mole di attacchi, ma grazie alle possibili contromisure da adottare – a partire dall’essere consapevoli del phishing, all’education sulla tematica, al monitoraggio e alla verifica dei log, degli abusi (SOC AS A SERVICE) - è possibile ridurre drasticamente l’incidenza di questi attacchi.