Phishing e smishing

Spesso quando parliamo di “furto” facciamo (erroneamente) riferimento a un immaginario fin troppo “nobilitato”, quello dei film e dei fumetti con cui siamo cresciuti; in cui i ladri sono sì ladri, ma con un certo fascino. Succede fin dai tempi di Lupin, della sgangherata banda de I soliti ignoti (Monicelli, 1958), per giungere poi ai tempi odierni, alla truppa di Danny Ocean, alla Casa di carta e a tutti gli altri. Storie di grandi piani, fughe spettacolari, personaggi sempre un po’ Robin Hood.

Il furto però, nella vita di tutti i giorni, non ha proprio niente di “eroico”; anzi è spesso un gesto sleale, vile, che gioca sulle fragilità delle persone. Che ovviamente cambiano con il passare degli anni, per cui se un tempo i furti erano delle pensioni fuori dalle poste, oggi sono spesso digitali. Quindi mutano i metodi, ma gli obiettivi sono più o meno sempre gli stessi, ovvero i fragili (tipicamente gli anziani); di conseguenza non c’è proprio nulla di nobile nel furto.

Oggi la maggioranza dei furti che riguarda la nostra quotidianità non è più “fisica”, ma prevalentemente virtuale – logica conseguenza della digitalizzazione delle nostre vite – e i danni sono perfino maggiori. Uno studio commissionato da Apple e portato avanti dal MIT (Massachusetts Institute of Technology) ha evidenziato come il 2023 sia stato di gran lunga l’anno più tragico di sempre sotto il profilo dei furti di dati; furti che coinvolgono l’appropriazione indebita di identità, documenti bancari e molti altri dati sensibili. In tutto il mondo, nel 2023, gli utenti che hanno subito la sottrazione di dati privati sono stati più di 360 milioni, con l’Italia che ben figura nella top 10 dei paesi Europei più colpiti.

Anche per evidenti questioni numeriche, i danni più ingenti arrivano dalla violazione di archivi di grandi aziende, che come è ovvio hanno a disposizione quantità impressionanti di file e, di conseguenza, quando si verifica un attacco, le proporzioni dei furti si fanno preoccupanti. Ma questo genere di assalti non riguarda solo i big (intuibile), e tocca tutti noi ogni giorno, con grandi e piccoli, evidenti o più complessi, metodi di estorsione. Per difendersi servono ovviamente gli strumenti (firewall, VPN, crittografie…), ma anche la conoscenza. Questo perché tante potenziali truffe possono essere evitate sfruttando un paio di regole e nozioni, utili a tutelarsi, perlomeno in modo basilare.

Si comincia dai concetti e dal lessico. Per esempio? In cosa consiste il cosiddetto phishing? Si tratta di una truffa in cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, attraverso una comunicazione ingannatrice costruita in modo tale da poterle dare fiducia (non a caso il termine è una variazione dell’inglese fishing, ovvero pescare). Perché si tratta di una tecnica subdola? Perché sfrutta una comunicazione travestita da affidabile, con messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi, spesso di fornitori di servizi; emulando interlocutori con cui magari abbiamo già delle conversazioni, e che non attirano troppo la nostra attenzione.

Una tipologia specifica di phishing è lo smishing, ovvero la truffa di cui sopra che utilizza però gli SMS (da qui il nome), che di per sé, rispetto a una mail, è un messaggio percepito come ancora più “intimo”, e quindi ancor più degno di fiducia.

Ecco, ma come si riconoscono operazioni di phishing e smishing? Certo ci sono quelle costruite benissimo e quelle “evidentemente” truffe, ma esistono comunque dei comuni denominatori utili a scoprire l’inganno.

Ce li hanno raccontati i professionisti di Cesin Group, azienda torinese che fornisce da oltre 25 anni assistenza digitale alle aziende a 360°, e che ovviamente si occupa anche di prevenzione e difesa dagli attacchi informatici; tema su cui si impegna a divulgare informazioni sui suoi social e attraverso pacchetti dedicati di formazione per le imprese. «Un’operazione di phishing ha delle caratteristiche ricorrenti: arriva alla “vittima” tramite mail o DM, l’indirizzo del mittente è simile ma non uguale a quello “originale” e presenta spesso errori grammaticali o simili. Se a queste caratteristiche aggiungiamo un’insolita richiesta urgente di cliccare su qualche link e magari anche di fornire delle informazioni personali… L’identikit della truffa è praticamente servito».

Quindi si può prevenire?

«Diciamo che contro truffe “basilari” abbiamo diversi strumenti, servono però attenzione e conoscenza».

Mentre per lo smishing?

«Può essere più insidioso, però anche qui ci sono degli elementi ricorrenti. Se vediamo un messaggio un po’ strano, è meglio verificare il numero del mittente… basta una cifra diversa. E poi c’è sempre questa urgente richiesta di chiamare o cliccare qualcosa, non a caso si parla di truffe che sfruttano “l’ingegneria sociale”. Infine fate caso ai saluti finali, magari insoliti o troppo generici, anche quelli sono un fattore per riconoscere una truffa».

Quindi ci si protegge con la cultura?

«Anche con la cultura. Quella è sempre fondamentale. Chiaro, per le aziende noi proponiamo una formazione ben più approfondita e vari strumenti digitali di difesa. Non si scherza con i dati».