Il CERT-PA ha redatto un glossario rivolto ai dirigenti e responsabili della PA che per la prima volta si trovano a gestire un incidente di sicurezza cyber. L’elaborato è pensato come supporto alle comunicazioni di servizio che il CERT-PA quotidianamente gestisce ma può essere utile anche al lettore che privilegi un’inquadratura più generale e meno tecnica.

Dal Glossario si ricavano le seguenti risposte.

Che cos’è?
Il phishing è una frode informatica, realizzata attraverso l’invio di e-mail contraffatte, finalizzata all’acquisizione, per scopi illegali, di dati riservati oppure a far compiere alla vittima determinate operazioni/azioni. I malintenzionati che si avvalgono delle tecniche di phishing non utilizzano virus, spyware, malware o altre tipologie di software malevolo, ma si limitano, piuttosto, ad usare tecniche di social engineering, attraverso le quali vengono studiate ed analizzate le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili. Il phishing è quindi un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima.

Per approfondimenti si rimanda alla nostra pillola informativa sul Phishing.

Cos’è tecnicamente?
Chi vuole sferrare un attacco di phishing generalmente ricorre ad una metodologia standard che di solito si articola in diverse fasi.

La prima di queste, consiste nell’inviare alle potenziali vittime dei messaggi di posta elettronica contenenti delle informazioni il più possibile veritiere, familiari e/o allettanti. Il messaggio fraudolento, per essere il più credibile possible, simula delle situazioni che in realtà possono verificarsi. A titolo di esempio un tipico messaggio di phishing potrebbe riguardare:

• la scadenza di una determinata password di un servizio on-line;
• l’accettazione dei cambiamenti delle condizioni contrattuali;
• il potenziale rinnovo della carta prepagata o della carta di credito;
• dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti online;
• la mancata, incompleta o errata presenza di informazioni, che magari riguardano determinati servizi bancari on-line;
• la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le coordinate bancarie per far sì di esser tra i primi a beneficiarne;

Una volta quindi catturata l’attenzione dell’ignaro utente, il messaggio fraudolento, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito Internet in questione. Il sito “fake” assomiglierà il più possibile a quello “ufficiale”, con la speranza che il malcapitato utente inserisca username, password e/o altre potenziali informazioni utili.

Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, potrà disporre e utilizzare a suo piacimento i dati ottenuti con tutte le spiacevoli conseguenze del caso.

Perché è rilevante?
Anche se sono passati più di 20 anni dalla prima campagna di phishing della storia, le mail fraudolente continuano a mietere vittime tra gli utenti più sprovveduti. Possiamo affermare quindi che il phishing è una minaccia attuale.

Come mi difendo?
La regola principale per difendersi è solo una: nessuno può tutelare le nostre informazioni meglio di noi stessi. Per questo è necessario gestire i propri dati con cura e diffonderli il meno possibile.

Di seguito si riportano alcuni semplici consigili per difendersi dal phishing:

• non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email.
• non aprire allegati del messaggio se non si è sicuri dell’identità del mittente.
• non cliccare su alcun link presente nel corpo del messaggio se non si è sicuri dell’identità del mittente.
• se si ricevono mail che sembrano provenire dalla tua banca che ti chiedono di inserire dati personali (login e password o numero di carta di credito) verifica sempre la veridicità della mail chiamando telefonicamente la banca.
• controllare che la connessione sia HTTPS e verificare che all’apertura della pagina, il dominio sia effettivamente quello “ufficiale“.
• installare nel computer un antivirus che protegga anche dal phishing e mantenerlo costantemente aggiornato.
• fidati dei filtri Antispam del tuo provider di posta. I messaggi che si trovano nella cartella di Spam sono al 90% mail spazzatura o tentativi di phishing.
• utilizzare password robuste e cambiarle con frequenza.
• NON utilizzare mai la stessa password per i vari servizi on-line.

Come si rimedia?
Ci siamo “cascati“: abbiamo inserito i nostri dati su un sito “fake“. Come prima cosa va contattato l’amministratore/gestore del portale “ufficiale” del servizio on-line per avvertirlo di quanto accaduto, successivamente va effettuato un cambio password sul portale “ufficiale” ricordando di non utilizzare mai la stessa password per i vari servizi on-line.

Fonte: CERT-PA-Glossario