Come difendersi dagli attacchi di phishing
Phishing ancora in primo piano. Stando alla definizione dell’Agenzia per l’Italia Digitale si tratta di “una frode informatica, realizzata con l’invio di e-mail contraffatte, finalizzata all’acquisizione, per scopi illegali, di dati riservati oppure a far compiere alla vittima determinate operazioni che, di solito, comportano il download di un determinato file oppure il collegamento a uno specifico sito web”. Un fenomeno non certo nuovo ma il cui punto di svolta è stato nel periodo compreso tra il 2014 e il 2015, quando gli attacchisono sostanzialmente raddoppiati, passando nell’arco di un anno da 700mila ad oltre 1,4 milioni.
Attacchi, come dicevamo, che continuano ancora oggi, tanto che nel corso degli ultimi giorni l’Agenzia delle Entrate ha lanciato un allarme su una mail truffa relativa a un presunto rimborso che spetterebbe dal fisco. Ma vediamo nel dettaglio cosa sta accadendo e quali sono i passi necessari per non cadere in questa nuova trappola.
Nuovo tentativo di phishing con la promessa di un rimborso
A segnalare l’ultimo tentativo di phishing è stata l’Agenzia delle Entrate, che ha reso noto una campagna malevola intrapresa via e-mail e via Pec. I truffatori, facendo leva su un presunto rimborso, chiedono la compilazione e l’invio di un modulo per la richiesta di accredito. L’obiettivo di questa comunicazione è molto semplice: è un tentativo di instaurare un contatto con la potenziale vittima, per un’azione fraudolenta che verrebbe avviata in un secondo momento.
Ma come è possibile identificare che si tratta di una finta mail? Gli utenti devono prestare la massima attenzione ad alcuni fattori:
- il mittente risulta essere estraneo all’AdE;
- nell’oggetto dalla e-mail viene indicato: Modulo Rimborso;
- all’interno del testo si fa riferimento ad un rimborso causale a credito;
- viene inviato un allegato in formato PDF, che è stato nominato: Modulo richiesta accredito;
- all’interno del testo sono presenti degli errori grammaticali, di punteggiatura e delle omissioni;
- la comunicazione connota un senso d’urgenza generale.
L’Agenzia delle Entrate ha messo in evidenza che questo tipo di comunicazione potrebbe trarre in inganno, perché sono state inviate anche tramite Pec. Ma, anche in questo caso, si tratta di phishing.
Altri fattori che possono trarre in inganno
C’è un ulteriore fattore, in quest’ultimo caso di phishing, che potrebbe trarre in inganno gli ignari destinatari. Il falso modello PDF compilabile riporta il logo dell’Agenzia delle Entrate. Riporta, inoltre l’intestazione:
richiesta di accredito su carta di credito di rimborsi fiscali e di altre forme di erogazione – soggetti diversi dalle persone fisiche.
All’interno del falso modello PDF viene chiesto l’Iban, il numero della carta di credito, la scadenza e il CCV. Informazioni che potrebbero indurre il contribuente a compilare il modulo e ad inviare le informazioni personali. Ma che serve esclusivamente per effettuare degli addebiti sulla carta di credito o sul conto corrente.
L’Agenzia delle Entrate si è dichiarata completamente estranea a queste comunicazioni e ha raccomandato di non cliccare sui link, di non aprire gli allegati e non fornire i propri dati personali. Nemmeno le credenziali per accedere al proprio conto corrente online.
Come difendersi dal phishing
Le indicazioni fornite dall’AdE sono molto importanti, perché forniscono un primo vademecum per difendersi da questo attacco fraudolento. Ma gli utenti possono anche adottare una serie di cautele per non cadere in inganno. Per farlo è necessario riuscire a identificare alcuni segnali d’allarme e attivarsi in maniera attiva.
Le caratteristiche generali di un attacco phishing sono le seguenti:
- un indirizzo email sospetto, che potrebbe contenere degli errori grammaticali od ortografici. In questi casi è necessario verificare l’autenticità della missiva;
- messaggi con richieste urgenti. Questi tipi di email contengono generalmente delle richieste urgenti, che inducono la potenziale vittima ad agire rapidamente;
- link dubbiosi. Prima di aprirlo è sempre opportuno verificare dove rimandino posizionandovi il cursore del mouse sopra, ma senza cliccare. Se appare sospetto, è meglio non cliccare;
- messaggi non personalizzati. Quando gli attacchi di phishing sono di massa non contengono delle informazioni specifiche. Quando il messaggio appare troppo generico potrebbe trattarsi di phishing;
- richiesta di informazioni sensibili. Le banche e gli enti pubblici non chiedono informazioni private tramite email. Non fornire mai credenziali, password o numeri di carta di credito anche se la richiesta sembra arrivare dalla propria banca;
- errori di ortografia o grammatica. Un messaggio mal scritto, con troppi errori non è mai affidabile.