Cos’è il phishing, il tentativo di truffa digitale primordiale (ma tuttora in voga)

È la madre di tutti i tentativi di truffa da quando l’uomo inventò l’Internet delle cose e tutti gli strumenti a esso collegati. Il phishing, nonostante il passare degli anni, è sempre molto diffuso in rete. Perché in quello spazio etereo e non tangibile, i frodatori della navigazione sul web riescono a trovare sempre nuovi spunti per cercare di portare nel loro porto le vittime di queste trappole che partono via mail. E chi cade in questo tranello, spesso molto ben nascosto, rischia di pagare a caro prezzo. Non solo furto di dati, ma anche – nel peggiore dei casi – conti bancari svuotati in un batter di ciglia. Qui alcune risposte alla domanda “phishing, cos è?”.

LEGGI ANCHE > Il phishing mirato nello specifico contro gli utenti con spunte blu sui social

Come detto, è la forma primordiale di tutte le truffe online. Prima dello smishing (che è il figlio minore, ora cresciuto), la maggior parte dei tentativi di frode telematica avveniva con il phishing. Una pratica che il vocabolario dell’Enciclopedia Treccani definisce così: «Da fishing «pesca», con sostituzione di ph a f originatasi nell’ambiente della pirateria informatica. Nel linguaggio di Internet, il tentativo di impadronirsi illegalmente dei dati personali di un utente, e di altre utili informazioni (numeri di conto corrente e di carta di credito, codici di sicurezza per l’accesso a banche dati, ecc.), generalmente al fine di derubarlo».

E la Polizia Postale italiana prova a rispondere così alla domanda “phishing c0s’è?”: «Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il  messaggio invita, riferendo problemi di registrazione o di altra natura,  a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è  stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali».

Pescare, con una mail, nella speranza che qualcuno abbocchi. Questa, di fatto, potrebbe essere una definizione sintetica di questo fenomeno che ha origini lontane nel tempo. Ma alla fine degli anni Novanta, quando se ne iniziò a parlare con insistenza, gli episodi erano molto limitati. Ora, invece, con l’ampia diffusione dell’utilizzo di Internet a livello globale, i tentativi di truffa si sono moltiplicati, anche con forme diverse in base al caso specifico.

La storia

Anno ’90, dunque. Perché il termine phishing è entrato nel vocabolario informatico nel 1987, quando all’International HP Users Group, quando Jerry Felix e Chris Hauck presentarono un documento – che poi si dimostrò premonitore – dall’emblematico titolo”Sicurezza del sistema: prospettiva di un hacker”. All’interno di quello che poi divenne una vera e propria testimonianza storica, i due esperti di informatica utilizzarono quella parola per indicare la possibilità – da parte di terzi – di imitare un servizio online. Il tutto, secondo loro, si basava su criteri di similitudine grafica che avrebbero potuto mettere a rischio il livello di salute della rete, convincendo gli utenti (all’epoca veramente pochissimi) a consegnare i propri dati a imitazioni di piattaforme. E la storia ha insegnato che quei problemi evidenziati alla fine degli anni ’80 si sono rivelati reali.

All’epoca, però, pochissime persone avevano un pc ed erano ancora in numero inferiore coloro i quali avevano una connessione a Internet. Per questo motivo i tentativi di truffa via web e via mail sembravano essere una vera e propria utopia. Poi, però, sono arrivati gli anni Novanta. Soprattutto quel periodo a cavallo tra la fine del vecchio e l’inizio del nuovo Millennio. Anni in cui buona parte della popolazione mondiale ha avuto accesso al mondo perennemente connesso. E non solo tramite pc, ma anche attraverso tutti gli altri strumenti digitali attualmente sul mercato. Ed è proprio con il Terzo Millennio che il phishing è cresciuto. E con lui anche il numero di vittime.

Phishing cos è e alcuni casi recenti

Perché ricevere una mail da quel che sembra un “ente fidato”, un’associazione o anche un istituto bancario è il grimaldello che, spesso e volentieri, scardina tutte le perplessità. E i pescatori di frodo di Internet, con il passare degli anni, sono riusciti a migliorare le loro tecniche di attacco. Comunicazioni sempre più vicine (anche graficamente) a realtà consolidate e momenti sfruttati alla perfezione. In che senso? Abbiamo, per esempio, il caso della pandemia. Con le informazioni che sono (e stanno) circolando sul Sars-Cov-2 e tutte le sue varianti, i truffatori della rete sono riusciti a realizzare e a portare a termine diversi tentativi di frode sul tema dell’emergenza sanitaria. Nel corso di questi due anni e mezzo, infatti, su Giornalettismo abbiamo più volte messo in guardia gli utenti su alcune iniziative truffaldine che seguono le pratiche del phishing: da quelle sulla variante Omicron, a quelle sui Green Pass. E un rapporto di Sophos – azienda che si occupa di sicurezza informatica – datato settembre 2021, ha evidenziato come con la pandemia ci sia stata una crescita esponenziale di questo fenomeno.

E nel corso dell’ultimo anno abbiamo affrontato anche altre tipologie, molto fantasiose. Perché si sono susseguite segnalazioni di utenti che hanno iniziato a ricevere numerose mail da “persone” che si spacciavano per dirigenti delle forze dell’ordine: da quella a nome della Polizia di Stato, a quella in cui si citano Nunzia Ciardi e Teo Luzi (rispettivamente Dirigente Superiore della PS e Comandante Generale dei Carabinieri). Tre casi analoghi in cui si faceva riferimento a un’inchiesta aperta per pedofilia e pedopornografia. Ovviamente non era vero. Così come alcune mail inviate ai cittadini a nome dell’Inps, in cui si chiedevano pagamenti e dati bancari. E, ancor più di recente, abbiamo conosciuto anche una nuova tipologia di phishing attraverso i messaggi privati su Linkedin. Insomma, frodi adattate a ogni stagione digitale.

Le tipologie

Questi sono solo alcuni casi che, poi, si suddividono anche per tipologia. Non tanto nelle modalità pratiche – perché quando ci si chiede il phishing cos è la risposta è sempre quella che parla di un tentativo di furto di dati (soprattutto bancari) per svuotare i conti o arrecare un danno economico (via telematica) alla vittima -, ma per le strategie utilizzate. Per esempio, negli ultimi tempi si è parlato spesso e volentieri del “Browser-in-the-Browser“ che simula le finestre a noi note nelle quali inseriamo le credenziali e, dunque, l’utente non si accorge di star digitando i propri dati su un “clone digitale” e non sul sito ufficiale. Ma oltre a questo (e a quei tentativi di truffa via mail più “tradizionali”), lo scorso anno abbiamo imparato a conoscere anche lo Spear phishing. E nel futuro cosa potrà accadere? I dati recenti mostrano l’incremento dei tentativi di phishing sfruttando anche il vasto utilizzo del QR-Code, quel codice bidimensionale che ormai tutti hanno imparato a conoscere con la pandemia e le dinamiche legate al Green Pass.

Phishing cos è e come difendersi dalle truffe via mail

Dopo aver dato risposte e indicazioni scaturite dalla domanda “phishing cos è?”, è arrivato il momento delle indicazioni sul come non abboccare all’amo dei truffatori. Ovviamente il primo consiglio è quello di affrontare tutto quel che appare in rete (comprese le e-mail che riceviamo) sempre con occhio critico. Può essere utile, per esempio, controllare sempre il reale indirizzo del mittente (che non è quasi mai quello ufficiale dell’azienda nei casi di phishing). Inoltre, quando riceviamo una comunicazione sospetta (soprattutto nei casi di istituti bancari) con richiesta di cliccare su un link e inserire i propri dati personali, si può contattare il servizio clienti dell’azienda per chiedere delucidazioni sulla veridicità di quella mail ricevuta. Perché la truffa, con l’avanzare di internet, è sempre dietro l’angolo.