Phishing: minacce per la sicurezza dei dati personali

Cos’è il phishing?

Il phishing è una tecnica informatica illecita utilizzata dai criminali informatici per appropriarsi di dati personali e informazioni riservate relative a una persona fisica o a un’azienda.

Il termine phishing è una derivazione di fishing, pescare, e si riferisce all’utilizzo di tecniche informatiche per pescare i dati personali e le informazioni riservate delle vittime che “abboccano” alla truffa.

phishing pescare dati
Phishing: derivazione di fishing, pescare

Il numero di tentativi di phishing è in continuo aumento e rappresentano uno degli strumenti preferiti dai criminali informatici.

Che dati interessano al criminale informatico?

Al criminale informatico possono interessare dati personali e informazioni riservate di ogni tipo: dati anagrafici, dati di recapito, credenziali di accesso a banche dati o software, codici di accesso a strumenti elettronici (ad esempio le password dei personal computer o i PIN dei telefoni cellulari), coordinate bancarie, dati relativi alle carte di credito/debito… qualsiasi tipo di informazione utile per commettere un’azione illecita.

Scopo del phishing

I dati carpiti alla vittima possono essere utilizzati dal criminale informatico per diverse attività criminali:

  • acquisti on-line a spese della vittima;
  • prelievo di denaro dal conto corrente della vittima;
  • accesso abusivo a sistemi informatici e banche dati;
  • frodi;
  • estorsioni
  • spionaggio;
  • attacchi informatici con perdita del patrimonio informativo con conseguenti potenziali danni personali e aziendali;
  • sostituzione di persona e compimento di attività illecite utilizzando l’identità e le credenziali di autenticazione della vittima.
phishing attacco informatico

Come avviene il phishing?

Il criminale informatico si finge un soggetto autorevole (ente pubblico, banca, compagnia telefonica, compagnia di assicurazioni, struttura sanitaria…) e dopo aver contattato la vittima la invita a fornire i suoi dati personali per risolvere una particolare problematica, per offrire un’offerta promozionale particolare, ecc.

In alternativa, il criminale informatico può inviare comunicazioni che contengono virus o malware e attaccare il sistema informativo della vittima.

Chi sono i bersagli del phishing?

Esistono due tipologie di attacco:

  • attacco generico: considerata la grande disponibilità di recapiti personali, alcuni criminali informatici predispongono delle “campagne di phishing” generiche. Non c’è un bersaglio preciso ma le comunicazioni vengono inviate massivamente sperando che parte dei destinatari cada nella truffa;
  • attacco mirato: in questo caso i criminali informatici hanno un bersaglio preciso, ad esempio un’azienda o un ente pubblico, e l’attacco è mirato, destinato in modo specifico per violare i loro dati personali o le loro informazioni riservate. Per fare ciò, i criminali informatici, prima di sferrare l’attacco (inviare le mail) compiono attente indagini, ricerche e raccolgono tutte le informazioni per riuscire nel loro intento. Molto spesso utilizzano i social network per studiare i bersagli, ricostruire le dinamiche aziendali, indagare sul personale e individuare le vulnerabilità.

Attraverso che canali agisce il truffatore?

Il tentativo di truffa può avvenire con diversi mezzi:

Generalmente i messaggi inviati invitano la vittima a fornire direttamente i propri dati personali oppure contengono link che rimandano a pagine web specifiche dove sono presenti form da compilare.

phishing come proteggersi

Come proteggersi dai tentativi di phishing?

  • Provvedere ad un’adeguata informazione e formazione degli operatori in merito alle modalità di minaccia per i dati personali e le informazioni riservate;
  • Non comunicare a nessuno o divulgare le credenziali o i codici di accesso a software, strumenti elettronici, conti correnti carte di credito/debito;
  • Utilizzare password di accesso “complesse”, cioè sufficientemente lunghe, non riconducibili all’utilizzatore e contenenti un’alternanza di lettere maiuscole e minuscole, numeri e caratteri speciali. Utilizzare password di accesso diverse per ogni servizio/strumento impiegato;
  • Diffidare: utilizzare il buon senso. Difficilmente un ente pubblico o un soggetto autorevole utilizzano strumenti come E-mail, sms, chat, piattaforme di messaggistica istantanea, social network controversie o richiedere informazioni in modo ufficiale. Evitare quindi di fornire i dati personali e le informazioni richieste;
  • Non aprire gli allegati o cliccare i link presenti nelle comunicazioni sospette: potrebbero contenere virus e malware;
  • Installare sui dispositivi elettroni software antivirus in grado di proteggere anche dai tentativi di phishing;
  • Non memorizzare dati personali e credenziali di accesso nei browser utilizzati per la navigazione in internet;
  • Per gli acquisti online utilizzare, se possibile, strumenti prepagati o strumenti che evitino, per quanto possibile, la condivisione di dati personali e informazioni riservate. Inoltre, è opportuno controllare spesso i movimenti bancari e attivare sistemi di segnalazione automatici che avvisano l’utente ogni volta che viene effettuata un’operazione.
  • Prestare attenzione ai dettagli: i criminali informatici sono dei “professionisti” e i messaggi che inviano sono progettati per trarre in inganno la vittima. Spesso i criminali informatici utilizzano imitazioni realistiche di grafiche, immagini e loghi aziendali dell’ente pubblico o del soggetto autorevole al quale si sostituiscono. In questo caso è consigliabile controllare:
    • lo stile di scrittura e la grammatica: molto spesso i messaggi di phishing contengono errori grammaticali, errori causati dalla traduzione automatica dei testi e toni minatori. I toni minatori e la richiesta di rispondere in tempi brevi per evitare pesanti ripercussioni, sono tattiche utilizzate per allarmare la vittima, per metterla in uno stato di agitazione che la spinge a fornire i suoi dati personali o le sue informazioni personali;
    • il mittente: controllare che i numeri di telefono e i recapiti e-mail corrispondano effettivamente a un determinato ente pubblico o soggetto autorevole. L’indirizzo e-mail del criminale informatico potrebbe differenziarsi da quello originale per piccolissime disuguaglianze, ad esempio un punto o una lettera in meno, oppure al contrario potrebbe apparire estremamente strano o fantasioso. In caso di dubbi sull’autenticità di una comunicazione, prima di rispondere e inviare i propri dati personali o informazioni riservate, contattare direttamente il mittente attraverso canali di comunicazione conosciuti e affidabili (ad esempio i recapiti ufficiali presenti sul sito web ufficiale dell’organizzazione) per richiedere una conferma.

Contatta Studio Scudo per una Consulenza

Analizzeremo insieme la situazione per proporti la migliore soluzione per la tua azienda.

Informativa al trattamento dei dati personali privacy policy



Acconsento al trattamento dei dati personali per l’iscrizione alla mailing list – newsletter con finalità di marketing diretto come specificato nella privacy policy