Il phishing è una forma di attacco informatico molto diffuso che si manifesta frequentemente attraverso e-mail e sistemi di messaggistica come Whatsapp o simili. I contenuti provengono da un account fake che sembra a tutti gli effetti un’organizzazione affidabile o un contatto conosciuto. Questa forma di adescamento ha l’obiettivo di spingere l’utente a compiere una determinata azione che successivamente produce conseguenze rischiose. Per esempio scaricando un file apparentemente innocuo viene installato un virus sul proprio dispositivo oppure comunicando le proprie credenziali si dà accesso ai servizi di home banking personali.
Sono principalmente due le fasi di un phishing attack:
L’utente riceve una comunicazione, come un’email o un messaggio, che reputa legittima o proveniente da un mittente affidabile. Questa comunicazione normalmente cattura l’attenzione dell’utente per il tono perentorio, urgente e allarmistico che induce ad agire con una certa fretta senza porsi ulteriori domande né effettuare controlli.
Questa tipologia di attacco fa leva sulla buona fede dell’utente che, credendo di interagire con un mittente affidabile e conosciuto, ingenuamente è propenso a fornire le informazioni richieste.
Come proteggersi dal phishing
- Verificare attentamente i link e i mittenti delle email prima di aprire allegati e siti consigliati. Può essere una buona norma valutare la reale pagina di destinazione nascosta dall’anchor text contenuto in una email;
- Usare solo connessioni sicure, in particolar modo quando si comunicano dati riservati, controllando che la connessione al sito indicato sia in HTTPS e verificando puntualmente che il nome del dominio sia quello ufficiale e non un fake;
- Diffidare dalle richieste di credenziali di accesso da parte di sedicenti organizzazioni, banche, compagnie telefoniche;
- Insospettirsi nel caso in cui un mittente considerato affidabile avanzi una richiesta inconsueta o difforme rispetto alla consuetudine.
Alla base di una politica di sicurezza che prevenga dai rischi del phishing c’è indubbiamente la formazione personale: il corso Cyber Security Awareness erogato da W.P. Format è espressamente pensato per aumentare il livello di sicurezza e di consapevolezza degli individui e delle organizzazioni.