Il phishing in Italia colpisce soprattutto i giovani tra i 16 e i 26 anni, esponenti della Generazione Z. Aruba, cloud provider italiano ha avviato una campagna di sensibilizzazione indirizzata proprio a loro. I più giovani sono i più bersagliati, in parte perché le truffe online utilizzano in modo sempre più massivo gli strumenti digitali con cui questa generazione è cresciuta, dai social media ai servizi di instant messaging, in parte perché i criminali informatici prendono di mira target sempre più giovani, come ad esempio quello dei gamer.
Cos’è il phishing?
Si tratta di una truffa digitale, in cui si cerca di ingannare la vittima spingendola ad effettuare operazioni allo scopo di recuperare le sue informazioni personali come username, password o altri dati riservati. Generalmente, il criminale informatico invia false comunicazioni al soggetto, fingendosi un ente o un’azienda ben conosciuta o con cui è possibile siano già in corso conversazioni e relazioni, usando scuse plausibili per ottenere i dati personali della vittima. Solitamente gli attacchi di phishing si presentano come comunicazioni digitali che giungono al destinatario via e-mail, sms (fenomeno noto come smishing), tramite un social network o sulle principali piattaforme di instant messaging e, generalmente, sono accomunati da una o più delle seguenti caratteristiche:
- comunicazione di una sospensione o blocco di un account senza alcuna spiegazione;
- sollecito di pagamento legato ad una determinata operazione entro una data di scadenza fittizia;
- presenza di un indirizzo web che include un dominio simile ma diverso da quello originale dell’ente;
- richiesta di informazioni private;
- errori ortografici nel corpo del messaggio.
I consigli di Aruba alla Generazione Z
Secondo Aruba però esistono una serie di accorgimenti che consentono alla Generazione Z di navigare più sicura e non cadere vittima dell’attacco, tra questi:
- Controllare il reale mittente del messaggio. Nonostante il mittente della comunicazione possa sembrare familiare, è sempre bene analizzare l’intestazione dell’email e controllare le informazioni aggiuntive relative a chi scrive. Le organizzazioni e gli enti scrivono sempre dal proprio dominio, bisogna dunque controllare che corrisponda a quello ufficiale.
- Verificare se i link contenuti nel messaggio sono sicuri. Molto spesso, nei messaggi di phishing sono presenti pulsanti che rimandano a pagine graficamente molto simili o uguali a quelle di aziende e servizi conosciuti dietro alle quali però si nasconde il responsabile dell’invio dell’e-mail. Si tratta in realtà di pagine fittizie e l’inserimento dei dati nei campi richiesti è il metodo più utilizzato per rubare informazioni sensibili.
Per verificare se l’indirizzo web a cui conduce un link è sicuro, è sufficiente avvicinare il puntatore del mouse al link stesso per controllare l’url, in basso alla sinistra del browser. Poi è importante esaminare se il messaggio è scritto in modo grossolano. Nonostante i messaggi di phishing siano sempre più accurati nel contenuto e nella forma, molto spesso contengono errori grammaticali o sintattici che possono far insospettire le persone. Errori di ortografia, un cattivo italiano (o inglese) e un linguaggio estremamente semplice sono chiari indizi di una mail di phishing.
Nel dubbio, tuttavia, si può agire in due modi: controllare la propria area personale, specie se il messaggio ricevuto sia relativo a pagamenti negati o rinnovo di servizi, prima di cliccare o eseguire le azioni richieste, è bene accedere alla propria area riservata relativa allo stato degli ordini o dei servizi a cui fa menzione il messaggio ricevuto. Poi è bene verificare con il servizio clienti. Se ancora non si è in grado di capire con certezza se si tratti di una frode o meno, è sempre meglio contattare il servizio clienti dell’azienda a cui l’email sospetta fa riferimento.
Se si è ormai caduti nel tranello, invece, ci sono una serie di operazioni da compiere per limitare i danni, tra queste cambiare la password, contattare il servizio clienti, avvisare le aziende o gli enti colpiti. Oltre al recupero dei propri dati personali, è opportuno segnalare l’attacco phishing ai soggetti che ne sono stati colpiti, così da poter prendere provvedimenti e intervenire tempestivamente per fermare la truffa.