Che cos'è il phishing e cosa fare in caso di truffa online?

Il phishing è un tentativo di truffa che approfitta del comportamento inconsapevole dell’utente per carpire informazioni sensibili. La maggior parte di questi attacchi informatici avviene quando ricevi un'e-mail, in cui il mittente finge di essere un'azienda, un ente finanziario o un organismo pubblico noti.

Il messaggio utilizza un tono o un linguaggio allarmante che richiede un’azione immediata da parte tua, come cliccare su un link, aggiornare dati o fornire informazioni per riscuotere un premio, impedire la restituzione di un ordine o il blocco di un conto o di una carta bancaria, etc. L’importante è non agire in fretta e dedicare qualche minuto ad analizzare il contenuto e le circostanze in cui hai ricevuto il messaggio. 

Ecco alcune linee guida per individuare se si tratta di phishing. Fai attenzione quando:

• Il messaggio è indirizzato a te però non è personalizzato o contiene dei dati generici e vaghi (nome, indirizzo e-mail, numero di cellulare, etc.);
• Il tono del messaggio è allarmante, per farti agire urgentemente;
• La formulazione del messaggio e alcune parole suonano strane, come se fossero pronunciate da uno straniero o si trattasse della traduzione di un messaggio in un'altra lingua; o contiene addirittura sottili errori ortografici e grammaticali che non passano comunque inosservati;
• I messaggi possono provenire anche da società od organizzazioni con cui non hai alcun legame;
• l'indirizzo e-mail del mittente non appartiene al dominio Internet di quella società od organizzazione (anche se a volte riescono a farlo sembrare abbastanza simile);
• I messaggi includono un link occulto su cui cliccare e che non appartiene al dominio Internet della società od organizzazione.

È più semplice di quanto tu possa pensare. Nel mondo del crimine informatico ci sono gruppi specializzati nella raccolta di massa di indirizzi e-mail e informazioni riservate da vendere sul dark web. In molti casi, queste informazioni provengono dalla violazione dei dati personali, in altri casi invece gli hacker generano indirizzi e-mail casuali combinando nomi, cognomi e provider di posta elettronica per inviare messaggi ingannevoli.

Possono ottenere dati pubblici anche dai profili utente dei social network o acquistare elenchi di indirizzi email da utilizzare nelle loro campagne di phishing.

Come fanno a sapere che sei cliente di quella società o ente, o che hai un legame con quell'organizzazione? Il più delle volte non lo sanno però giocano con la probabilità. Quasi tutti i cittadini sono utenti di enti pubblici, clienti di una banca o delle principali società di fornitura energetica, etc. Per cui, se ti inviano un messaggio fingendo di essere uno di questi, è molto probabile che non si sbaglino.

Quando ricevi un’e-mail, il tuo programma di posta elettronica dispone di filtri antispam che bloccano messaggi e utenti indesiderati. Tuttavia, è possibile che alcuni phishing riescano a bypassare i meccanismi antispam del tuo provider e raggiungano la tua posta in arrivo. In questo caso dovrai fare attenzione e diffidare del contenuto:

• Verifica il mittente dell'e-mail: controlla tramite un motore di ricerca che l'indirizzo appartenga al dominio ufficiale della società o dell'organizzazione. Nel caso di BBVA, verifica che corrisponda esattamente a uno di questi domini: <@bbva.it>, <@pec.bbva.it> o <@email.bbva.it>.
• Controlla il link al sito web: verifica che l’indirizzo web inserito nel messaggio inizi con https:// e che corrisponda al dominio ufficiale della società o dell'organizzazione.

• Non scaricare o installare file o programmi allegati inclusi nelle e-mail, a meno che non tu non abbia l'assoluta certezza che provengano da una fonte sicura.
• Non fornire i tuoi dati personali o le tue password quando ti vengono richiesti tramite e-mail o SMS. Ricorda che BBVA non ti chiederà mai i dati bancari attraverso questi canali.
• Non seguire le indicazioni del messaggio se il tono è estremamente allarmante o ti costringe a prendere una decisione in breve tempo. Contatta con la società tramite telefono, app, etc. per verificare se si tratta di una frode.

Se ricevi un'e-mail con le caratteristiche descritte e sospetti che si tratti di phishing, puoi spostarla nella cartella Spam (posta indesiderata), in questo modo il tuo fornitore di posta elettronica riceverà una copia e potrà analizzarla per proteggere gli altri utenti. 

Infine, se sospetti di aver ricevuto un'e-mail di phishing, avvisa il prima possibile la tua banca in modo tale che possa agire rapidamente per chiudere il sito web fraudolento.

Puoi anche notificarlo pubblicamente tramite il sito https://www.commissariatodips.it/ o di persona presso il commissariato di Polizia più vicino, consultabile nella lista dei Punti di Interesse degli Uffici di Polizia (Questure e Commissariati).

Se sei stato vittima di phishing ti consigliamo di agire immediatamente seguendo queste indicazioni:

• Segnala il problema alla tua banca. I principali enti e organismi bancari dispongono di appositi canali di segnalazione con le relative istruzioni. Ti richiederanno l'e-mail di phishing che hai ricevuto, specificando il tipo di informazioni che hai fornito, e ti diranno cosa fare.
• Modifica le tue password: se hai fornito le password, il PIN della carta, i codici di accesso, etc. cambiali il prima possibile.
• Esegui una scansione antivirus: se hai installato un software, lo dovrai disinstallare e utilizzare un antivirus per eliminare eventuali malware rimasti nel tuo computer. Fai lo stesso con i file che hai scaricato.