Il phishing, com’è ormai noto, consistente in una tecnica fraudolenta di ingegneria sociale mirante a carpire informazioni personali e sensibili (dati anagrafici; user id e password per i conti correnti online; codici carte di credito; ecc.). La modalità si manifesta con l’invio di email a catena, ad un elevato numero di utenti sconosciuti, contenenti messaggi formulati per influenzare la psicologia del destinatario, il quale, ricevendo tali comunicazioni, apparentemente provenienti da enti, istituzioni o società reali, viene indotto a collegarsi a pagine web o siti non autentici, ma del tutto simili a quelli legittimi.
Il destinatario dei messaggi è quindi sollecitato ad inserire le proprie credenziali per l’accesso ad aree riservate (soprattutto all‘home banking), cliccando sui link approntati ad hocdallo stesso phisher, oppure reindirizzato, attraverso i virus che il phisher ha infettato nel computer della vittima per alterare la gestione degli indirizzi Ip, ad un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo a seccargli il conto (c.d. “pharming”).
Una volta cliccato sul collegamento ipertestuale l’utente viene forzato a inserire le proprie credenziali di Login all’interno di un falso sito appositamente preparato.
E’ quello che è successo a un pensionato nisseno 60enne, il quale nei giorni scorsi ha ricevuto una email, in apparenza inviata dalla propria banca, il cui oggetto era “Comunicazioni della banca”; aperta la email l’uomo veniva informato di essere destinatario di una cartella esattoriale poiché sanzionato amministrativamente ed era invitato a cliccare su un link.
Dopo aver cliccato sul link il pensionato era reindirizzato in una “fasulla area clienti” della banca e, ancora una volta, sollecitato ad inserire le proprie credenziali (dati anagrafici, user id e password) e, successivamente, il codice pin generato dal token fornitogli dall’istituto di credito.
Dopo qualche minuto che erano state completate le suindicate procedure fraudolente, presso l’utenza telefonica cellulare dell’uomo perveniva un SMS nel quale la banca, stavolta quella vera, gli confermava l’avvenuto bonifico per circa 3.600,00 euro eseguito dallo stesso, a sua insaputa, in favore della carta prepagata del truffatore.
Resosi finalmente conto della truffa subita al pensionato non è rimasto che chiamare il numero verde della propria banca, che ha immediatamente bloccato il conto, e recarsi presso l’Ufficio relazioni con il pubblico della Questura per denunciare l’accaduto.
Phishing – Consigli della Polizia di Stato
- Gli Istituti di Credito o le Società che emettono Carte di Credito non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidate delle e-mail che, tramite un link in esse contenute, rimandano ad un sito web ove confermare i propri dati.
- Nel caso riceviate una e-mail, presumibilmente da parte della vostra banca, che vi fa richiesta dei riservati dati personali, recatevi personalmente presso il vostro istituto di credito.
- Se credete che l´ e-mail di richiesta informazione sia autentica, diffidate comunque del link presente in questa, collegatevi al sito della banca che l´ha inviata digitando l´ indirizzo internet, a voi noto, direttamente nel browser.
- Verificate sempre che nei siti web dove bisogna immettere dati (account, password, numero di carta di credito, altri dati personali), la trasmissione degli stessi avvenga con protocollo cifrato.
- Controllate, durante la navigazione in Internet, che l´ indirizzo URL sia quello del sito che si vuole visitare, e non un sito “copia”, creato per carpire dati.
- Installate sul vostro computer un filtro anti-spam.
- Controllate che, posizionando il puntatore del mouse sul link presente nell´ e-mail, in basso a sinistra del monitor del computer, appaia l´ indirizzo Internet del sito indicato, e non uno diverso.
