Come capire se si è vittima di un attacco di phishing e come difendersi
31 Ottobre 2023 - Redazione
Tutto quello che c'è da sapere sul phishing e su come difendersi
Molto spesso si sente parlare di truffe online perpetrate a danno degli internauti, e ancor più spesso si sente parlare di phishing, un particolare tipo di truffa che si concretizza principalmente mediante messaggi di posta elettronica ingannevoli.
Più precisamente, la truffa tramite phishing avviene mediante una email che apparentemente proviene da istituti finanziari o da siti web che richiedono le credenziali per poter accedere, ma che in realtà proviene da abili truffatori.
Dal punto di vista strettamente legale, il phishing rappresenta sia un illecito civile che penale in quanto mira ad ingannare la vittima allo scopo di sottrargli dati sensibili come ad esempio le credenziali della propria banca, i numeri della propria carta di credito o la password dell’home banking.
- Indice contenuti
- Definizione di phishing
- Com'è disciplinato
- Quanti e quali tipi di phishing esistono
- Quali sono i pericoli reali derivanti dagli attacchi di phishing
- Come il phishing si integra con altri reati come truffa o frode informatica
- Come identificare un attacco di phishing
- Accortezze per tutelarsi
- Cosa fare se si cade in una trappola di phishing, a chi rivolgersi
Definizione di phishing
Il termine phishing deriva dall’unione di due termini inglesi, “fishing”, ovvero pescare e "phreaking" ovvero un particolare termine che identifica l’attività di chi studia e sfrutta telefoni, compagnie telefoniche e sistemi informatici cercando falle da sfruttare per truffare terzi.
Secondo altre fonti invece, il termine phishing rappresenta solo una variante di "fishing" collegata al linguaggio “leet” che generalmente tende a sostituire la lettera F con il PH.
In ogni caso, l’allusione alla pesca è centrale in quanto è connessa con l’intenzione di colui che ha intenzione di truffare un soggetto di “pescare” appunto i suoi dati finanziari e le password dei propri profili.
Com'è disciplinato
Per quanto concerne la normativa di riferimento, in realtà nel nostro ordinamento giuridico non c’è una normativa ad hoc dedicata esclusivamente al phishing ma esistono norme che in modo più o meno diretto o indiretto possono essere applicare al fenomeno del phishing.
Sotto il profilo penalistico, infatti, chi pone in essere il phishing ai danni di un soggetto realizza un trattamento illecito dei dati personali del terzo: la norma di riferimento in questo caso è l’articolo 167 del Codice della privacy il quale punisce:
- Chi, salvo che il fatto non costituisca reato più grave, al fine di trarre per sé o per altri un profitto ingiusto o per arrecare a terzi un danno opera in violazione di ciò che è previsto dagli articoli 123,126,129 o 130 del Codice della privacy;
- Chi procede al trattamento dei dati personali di cui all’articolo 9 e 10 del Codice della privacy;
- Chi procede al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dai casi previsti dalla legge.
Vista la natura del phishing, il quale si concretizza nella materiale sottrazione dei dati altrui mediante artifizi e raggiri, si ritiene che possa pienamente rientrare nell’illecito del trattamento illecito dei dati personali.
Ovviamente esistono anche alcune norme contenute nel Codice Penale che possono essere applicate a tale condotta e che saranno esaminate nel corso dell'articolo.
Quanti e quali tipi di phishing esistono
Gli attacchi di phishing, diversamente da come si potrebbe pensare, non sono messi in atto esclusivamente mediante e-mail ma ne esistono altre tipologie; è possibile distinguere tra le varie tipologie di phishing a seconda dello stratagemma utilizzato dagli hacker per carpire i dati sensibili altrui.
E-mail phishing
La forma più classica di phishing è il cosiddetto e-mail phishing, che si ha quando l’attacco viene eseguito mediante l’invio di un’apposita mail in cui viene richiesto l’inserimento di dati personali come, ad esempio, le proprie credenziali bancarie o altri dati per poter risolvere un determinato problema o per gestire un’emergenza improvvisa. Un possibile testo potrebbe essere: “Ciao, qualcuno sta tentando di rubare la tua password, accedi al tuo account per cambiare la password con una più sicura”.
La difficoltà nell'individuazione del tentativo di phishing risiede nell'apparenza dell'email, che è estremamente simile ad una email ufficiale e perciò difficilmente distinguibile.
Spear phishing
Si tratta anche in questo caso di una finta comunicazione che viene indirizzata a una persona o ad un’azienda ben individuata. In poche parole, diversamente dall’e-mail phishing dove il testo fasullo è generico, nello spear phishing il truffatore si rivolge direttamente alla vittima, utilizzando ad esempio il suo nome, il suo cognome la sua data di nascita, la denominazione sociale e così via. Ad esempio “Signor tizio, all’attenzione della Tal dei Tali S.p.A. etc.”
Smishing
In caso di smishing la minaccia non arriva dalla propria e-mail ma arriva mediante SMS. Si tratta di una minaccia veramente insidiosa perché in genere ci si tende a fidare di più degli SMS rispetto alle mail, rischiando così di cascarci.
Whaling
Anche in questo caso l’attacco non è generico ma si rivolge direttamente ad un determinato soggetto che svolge un determinato ruolo all’interno di una determinata organizzazione.
Il testo generalmente è molto personalizzato al fine di trarre in inganno il ricevente, e visto che in questo caso la vittima è quasi sempre una persona di spicco di una società o di qualsiasi altra organizzazione, lo scopo è quello di riuscire a rubare informazioni e dati sensibili di alto valore.
Vishing
Questo fenomento è conosciuto anche come “voice phishing” in quanto la vittima viene contattata mediante una telefonata o mediante un messaggio vocale. In poche parole, si riceve una telefonata, o un messaggio vocale, in cui viene chiesto di intervenire subito perché qualcuno sta cercando, proprio in quel momento, di accedere al proprio conto corrente e di comunicare quindi i propri dati in maniera tempestiva al fine di impedire l’accesso abusivo.
Phishing mediante motore di ricerca
Conosciuto anche come avvelenamento SEO o Trojan SEO, il phishing mediante motore di ricerca è l’attività posta in essere dagli hacker per diventare il primo risultato restituito nei motori di ricerca. In poche parole, cliccando il loro link visualizzato sul motore di ricerca si viene automaticamente indirizzati al sito web dell’hacker. In questo modo i truffatori possono sottrarre tutte le informazioni che desiderano durante l’interazione con il sito e l’inserimento dei dati personali. Purtroppo, i siti degli hacker possono spacciarsi per qualsiasi tipo di sito web, come ad esempio quelli delle banche, social, pagine shopping e molti altri.
Clone phishing
Il clone phishing è un particolare tipo di truffa in cui il truffatore copia l’e-mail di un’azienda famosa ed autentica e, grazie alle loro capacità di contraffazione e di duplicazione, ingannano i terzi. Ad esempio, è possibile ricevere una e-mail clonata subito dopo aver ricevuto una e-mail ufficiale da un’azienda famosa poiché sono progettate proprio per ingannare chi le riceve ed indurre il soggetto ad inserire i propri dati personali.
A differenza degli altri tipi di truffa fino ad ora analizzati, con il clone phishing il truffatore sostituisce i link e gli allegati sicuri di una e-mail copiata con malware e domini fasulli per poter rubare tutti i dati di chi la riceve.
Quali sono i pericoli reali derivanti dagli attacchi di phishing
I pericoli derivanti dal phishing sono notevoli e non devono essere assolutamente sottovalutati dalle vittime.
I dati rubati, infatti, molto spesso vanno a finire nel dark web dove assumono valore di merce di scambio. Utilizzando i dati delle proprie vittime, gli hacker possono effettuare un vero e proprio furto di identità fingendosi di essere le vittime, spesso ignare di essere state vittima della criminalità informatica.
È chiaro quindi che il rischio è davvero alto perché chi si finge di essere una determinata persona può, a suo nome, non solo fare acquisti ma anche compiere dei reati o addirittura effettuare delle frodi creditizie prendendo prestiti presso istituti di credito a nome della vittima.
Pertanto, non appena ci si rende conto di essere stati vittima di phishing è fondamentale denunciare subito l’accaduto e provvedere a proteggere, quando è possibile, i propri accessi alle varie piattaforme web.
Se i dati sottratti sono quelli bancari, come accade spesso, la prima cosa da fare è avvisare la banca e bloccare qualsiasi pagamento in modo da limitare al massimo i danni.
Come il phishing si integra con altri reati come truffa o frode informatica
Oltre ad integrare il reato di trattamento illecito dei dati personali, il phishing, a seconda dei casi, potrebbe integrare anche il reato di truffa ai sensi dell’articolo 640 del Codice Penale il quale prevede una pena detentiva che va dai sei mesi fino ai tre anni nonché una multa da 51 euro fino a 1032 euro.
La truffa si ha quando un soggetto, con artifizi e raggiri, induce taluno in errore per procurare a sé o ad altri un profitto ingiusto con conseguente danno altrui. In dottrina ed in giurisprudenza si ritiene che nel phishing sia possibile riscontrare i medesimi elementi della truffa, in primis l’artifizio, ovvero la simulazione o la dissimulazione della realtà, ed il raggiro, ovvero le macchinazioni finalizzate a far scambiare il vero con il falso.
Si ritiene altresì che il phishing possa rientrare nel perimetro normativo dell’articolo 640 ter c.p. che disciplina il reato di arricchimento conseguito con l’impiego fraudolento di un sistema informatico.
In poche parole, il raggiro mediante il sistema informatico può configurarsi in qualsiasi fase del processo di elaborazione dei dati effettuato dall’elaboratore, ma ai fini dell’applicabilità dell’art. 640 ter c.p. è pur sempre necessario che colui il quale agisce procuri a sé o ad altri un profitto ingiusto al pari di ciò che accade con il reato di truffa tradizionale. Ancora, è necessario che l’alterazione dell’elaborazione dei dati sia tale da incidere in modo diretto sulla sfera patrimoniale del soggetto destinatario dell’aggressione.
Più precisamente, secondo la dottrina e la giurisprudenza che appaiono prevalenti, il phishing sarebbe sussumibile nel terzo comma dell’art. più volte richiamato, introdotto dal Decreto-legge del 14 agosto 2013 n. 93 convertito successivamente in Legge 15 ottobre 2013 n. 119 dove viene prevista un’aggravante specifica in caso di delitto di frode informatica.
Ma non finisce qui, il phishing può essere ricollegato anche ad altri reati contenuti nel Codice penale, come ad esempio il reato di cui all’art. 651 ter comma uno del c.p. il quale stigmatizza la condotta di chiunque si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza.
Il reato in esame è punito con la reclusione fino a tre anni.
Come identificare un attacco di phishing
Sebbene i tentativi di phishing siano sempre più sofisticati e difficili da riconoscere, non sono mai perfetti al 100% e ciò significa che, con un minimo di attenzione, è sempre possibile individuare i tentativi di truffa.
Tutto quello che occorre fare è prestare attenzione ai dettagli e stare sempre all’erta.
Ad esempio, quando si riceve una e-mail è fondamentale prestare sempre la giusta attenzione all’indirizzo del mittente, il quale aiuta a capire se il mittente è veramente colui che afferma di essere.
Spesso gli hacker utilizzano indirizzi di posta elettronica pubblica come @gmail.com, perciò è chiaro che se si riceve una mail dalla propria banca o da un ente pubblico con questo indirizzo è bene cestinarla direttamente.
Ancora, un altro aspetto che deve far insospettire sono allegati strani alle email di testo.
Anzi, se una e-mail, specie se si trova nello spam, proveniente da un indirizzo sconosciuto invita ad aprire gli allegati, è sempre bene non farlo.
Anche gli errori di ortografia in un dominio conosciuto rappresentano un ottimo campanello d’allarme. Spesso gli hacker replicano i siti web famosi in tutto e per tutto, non potendo però duplicare al 100%, cercano di crearne uno il più simile possibile all’originale (ad esempio IMPS.IT o AMASON.IT).
In poche parole, quando si riceve una mail o una telefonata “strana” è sempre importantissimo prestare attenzione, specie se vengono richiesti dati sensibili.
Infine, è bene sapere che gli istituti di credito, le poste e le banche non operano mai tramite e-mail o sms, pertanto, qualora si dovessero ricevere mail che solo apparentemente provengono da banche, poste e simili, è bene chiamare direttamente l’Istituto senza cliccare nessun link.
Accortezze per tutelarsi
Per potersi difendere dal phishing alcune volte bastano semplici accortezze.
Innanzitutto è necessario ricordarsi che i propri dati, anche quelli più banali come ad esempio la data di nascita, sono preziosissimi e non andrebbero condivisi con leggerezza in rete. È importante non fornire mai i propri dati personali, se non attraverso canali ufficiali come, ad esempio, il servizio clienti del proprio istituto di credito).
È necessario, tra l’altro, tenere sempre in mente che i criminali possono falsificare letteralmente tutto, ma non possono falsificare l’indirizzo dei siti web, ovvero l’URL, pertanto, se si presta attenzione agli URL dei siti è possibile distinguere quelli veri da quelli finti.
Infine, è importante mantenere sempre aggiornati i propri dispositivi ed utilizzare un ottimo antivirus e un buon filtro antispam.
La tecnologia, infatti, può paradossalmente aiutare tantissimo ad identificare alcune tipologie di truffe e, conseguentemente, a ridurre i danni nel caso in cui si compiesse malauguratamente un’imprudenza, ad esempio scaricando un virus sul proprio pc o sul proprio smartphone.
Cosa fare se si cade in una trappola di phishing, a chi rivolgersi
Ai sensi dell’articolo 11 del D.lgs. 11 del 2010 il consumatore vittima di phishing ha diritto a percepire un rimborso pari all’importo che gli è stato sottratto tramite l’operazione non autorizzata.
Per ottenere il rimborso è necessario contestare l’operazione informando il proprio istituto di credito di non averla mai autorizzata e proponendo apposito reclamo scritto.
Se la banca non dovesse procedere con il rimborso, il consumatore potrà agire in giudizio e chiedere il giusto risarcimento dei danni subiti. Un’alternativa è il ricorso all’ABF la cui decisione non è vincolante e permette alle parti di agire eventualmente in giudizio.
Ad ogni modo, in questi casi è sempre importante rivolgersi ad un avvocato penalista al più presto per sapere come comportarsi e come agire.
Se sei alla ricerca di un avvocato penalista, grazie a Quotalo.it potrai trovare il legale più vicino a te a cui chiedere una consulenza nel tempo più breve possibile.