- Cultura
Phishing: cos’è e come proteggersi
18 gennaio, 2023
Phishing: cos’è e come difendersi
Ad oggi il phishing costituisce uno dei principali motivi di preoccupazione nell’ambito delle frodi bancarie digitali.
I nostri clienti sono spesso spaventati dalla possibilità di cadere vittime di questi attacchi e subire delle intrusioni nei propri conti digitali.
È per questo che, da sempre, siamo impegnati nella difesa dagli attacchi phishing, grazie all’aiuto dei più sofisticati sistemi di sicurezza informatica e alla continua sensibilizzazione dei nostri utenti su come individuare e proteggersi dal phishing.
In questo articolo, troverai tutte informazioni essenziali sul phishing, per capire come evitare di cadere nella trappola dei truffatori e proteggere i tuoi conti digitali.
Cos'è il phishing
Il phishing è una tecnica di ingegneria sociale (social engineering) utilizzata per rubare le informazioni dell’account degli utenti o installare virus sui loro dispositivi. In entrambi i casi, il phishing mira a ingannare gli utenti per indurli a commettere azioni involontarie che alla fine li porterà a cadere vittime delle frodi online.
Il phishing può avvenire attraverso diversi metodi e può colpire sia i dipendenti di una specifica organizzazione (di solito tramite e-mail), sia i singoli clienti sui loro telefoni (spesso tramite SMS o chiamate vocali).
A differenza di alcuni anni fa, però, oggi gli attacchi di phishing sono più difficili da riconoscere, poiché i truffatori informatici sono in grado di migliorare ogni giorno le loro tecniche per rimanere inosservati e colpire con estrema precisione.
Il phishing può avvenire attraverso diversi metodi e può colpire sia i dipendenti di una specifica organizzazione (di solito tramite e-mail), sia i singoli clienti sui loro telefoni (spesso tramite SMS o chiamate vocali).
A differenza di alcuni anni fa, però, oggi gli attacchi di phishing sono più difficili da riconoscere, poiché i truffatori informatici sono in grado di migliorare ogni giorno le loro tecniche per rimanere inosservati e colpire con estrema precisione.
Come funziona un attacco phishing
Per eseguire un attacco phishing, i criminali informatici iniziano chiedendo alla vittima di eseguire una delle seguenti azioni:
- Scaricare un allegato che richiede la loro attenzione (ad esempio, una fattura da pagare urgentemente).
- Fare clic su un link per scaricare una risorsa dannosa (ad esempio, un’app da Google Play Store).
- Fare clic su un link che indirizza a un sito web falso che appare esattamente come quello della banca per completare un’azione (ad esempio, verificare le informazioni dell’account).
Email e phishing
Le più popolari modalità di attacchi phishing avvengono tramite e-mail o SMS.
Negli ultimi anni, lo Smishing (phishing via SMS) è diventato sempre più popolare in quanto sfrutta la tendenza dei fornitori di Internet, e-commerce, banche, o aziende di consegna di comunicare con i clienti tramite messaggi di testo.
Nonostante il nome, anche gli attacchi Smishing possono verificarsi su canali non-SMS, come applicazioni di messaggistica mobile. Tuttavia, i parametri di sicurezza più elevati di queste applicazioni rendono gli SMS la via preferita per i frodatori.
Vishing
Gli attacchi di phishing possono anche essere condotti tramite chiamate vocali. In questo caso, i criminali fingono di essere dipendenti di organismi legittimi, come fornitori di internet o banche, per ottenere i dati dei clienti e le informazioni finanziarie che alla fine permetteranno loro di completare le frodi.
Come accennato in precedenza, il vishing viene utilizzato anche in combinazione con attacchi via mail. In questo caso, i truffatori guidano il cliente a completare un’attività, come l’apertura di un sito web falso, in cui la vittima, nel tentativo di accedere, darà via le proprie credenziali; oppure la lettura ad alta voce di credenziali e odici di accesso OTP ad un falso dipendente della banca che darà accesso al conto.
L'evoluzione del phishing
Negli ultimi due anni l’evoluzione della tecnologia e la situazione pandemica mondiale ha provocato un profondo cambiamento nelle abitudini delle persone. L’uso di dispositivi mobili e servizi online è aumentato incredibilmente e, con questo, i truffatori hanno dovuto trovare nuovi modi per attaccare.
I siti web di e-commerce, le app bancarie, i servizi di streaming, le app di messaggistica istantanea e i social network offrono numerose possibilità per trovare le vittime e raccogliere informazioni pertinenti per commettere frodi.
Oggi, gli attacchi di phishing sui dispositivi mobili sono molto più comuni e difficili da rilevare rispetto al phishing tramite e-mail. I numeri dicono che solo il 15% degli attacchi di phishing sono condotti via e-mail. Tre ragioni principali possono spiegare questo:
- Il tempo trascorso sui cellulari è senza dubbio superiore al tempo trascorso su altri dispositivi.
- Quasi tutti i provider di posta elettronica adottano filtri anti-spam avanzati in grado di rilevare le e-mail sospette e trasferirle in una cartella separata, dove probabilmente l’utente non le vedrà mai;
- I dispositivi mobili offrono vettori più avanzati per le truffe, come app di messaggistica, social media, app bancarie e, naturalmente, messaggi di testo tradizionali.
Come proteggiamo i nostri clienti dal phishing
Ecco una notizia che nessuno dice apertamente: il phishing esisterà sempre.
Fin tanto che esisteranno i mezzi per poterlo fare, i truffatori cercheranno di attaccare tramite e-mail, SMS o chiamate vocali. Gli utenti dovranno, quindi, tenere sempre gli occhi aperti ed essere consapevoli del pericolo che possono incorrere ad ogni clic o download.
Di sicuro, le banche possono svolgere un ruolo essenziale nella protezione dei clienti dagli attacchi di phishing, accrescendone la consapevolezza, educando sulla questione e offrendo servizi altamente protetti per prevenire le frodi.
Gli attacchi phishing sono solo uno strumento che i frodatori usano per cercare di entrare nei conti e manipolare pagamenti.
Ok forse questa è una analogia di cui siamo un po’ stanchi…ma funziona: non possiamo evitare l’esistenza dei virus, ma possiamo evitare di essere infettati vivendo una vita sana e vaccinandoci, ad esempio.
Allo stesso modo non possiamo evitare i tentativi di phishing, ma possiamo adottare accorgimenti condivisi che aiutino a evitare che questi tentativi vadano a buon fine. A questo si aggiunga l’uso, da parte delle banche e dei sistemi di pagamento online, di sistemi antifrode che possano aiutare loro a identificare eventuali accessi od operazioni illegittime.
È per questo che Flowe (il conto di pagamento sicuro e 100% digitale) si avvale da tempo del supporto di un noto leader di mercato delle soluzioni antifrode, per individuare e prevenire le frodi bancarie digitali.
Messaggio pubblicitario con finalità promozionale. Per info e costi su conto Flowe vedi foglio informativo e norme su flowe.com sezione trasparenza.
