Di phishing (o se preferite fishing) se ne parla ormai dalla fine degli anni Ottanta (del secolo scorso). Dieci anni fa forse il punto di svolta e di non ritorno: tra il 2014 e il 2015 gli attacchi di phishing raddoppiarono da poco più di 700mila in un anno a oltre 1,4 milioni. Secondo un’indagine realizzata nel 2019, solo il 17,93% degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o SMS contenenti link malevoli o siti web che replicano delle pagine legittime). Quando si parla di rischi per la sicurezza dei propri dati, uno dei termini ormai tristemente noti è “phishing”. Si tratta, come sa chi ci è già incappato, di una tecnica con la quale si cerca di carpire informazioni riservate quali, ad esempio, il numero della carta di credito o le credenziali di accesso a vari sistemi come l’home banking..
Il phishing è una truffa consumata in rete – appunto, trattandosi di “pesca a strascico” – in cui il truffatore invia messaggi (via mail, via sms o WhatsApp) in modalità massiva, simulando un mittente che volta a volta è un ente pubblico o un soggetto privato percepito come autorevole per il destinatario.
Proprio in questi giorni l’Agenzia delle Entrate ha segnalato il rischio di phishing per presunti rimborsi. Chi non presta un attimo di attenzione, se arriva una mail dall’Agenzia delle Entrate che vi chiede di poter accreditare una somma erroneamente pagata al Fisco? Nella recente campagna malevola (ancora in corso) veicolata con false comunicazioni e-mail/pec, utilizzando il pretesto di un rimborso in favore della vittima, si richiede la compilazione e l’invio di un modulo per la richiesta di un presunto accredito.
Sei alert per difendersi
Il fine di queste comunicazioni è quello di attirare l’attenzione del malcapitato cercando un contatto dal quale successivamente instaurare un’azione fraudolenta.
Le e-mail afferenti a questa campagna – spiegano all’Agenzia delle Entrate – presentano i seguenti tratti distintivi:
- Mittente indirizzo estraneo all’Agenzia delle Entrate
- Oggetto “Modulo Rimborso”
- Riferimento nel testo ad un importo casuale a credito
- Presenza di un allegato in formato pdf “Modulo richiesta accredito”
- Errori grammaticali, di punteggiatura ed omissioni nel testo
- Senso d’urgenza generale
Le comunicazioni riguardanti questa campagna di phishing potrebbero sembrare lecite in quanto vengono inviate anche tramite servizio di posta elettronica certificata. Alle e-mail viene allegato un falso modello pdf compilabile riportante il logo Agenzia delle Entrate e l’intestazione “richiesta di accredito su carta di credito di rimborsi fiscali e di altre forme di erogazione – soggetti diversi dalle persone fisiche”. Il falso modello pdf, nel quale viene richiesto l’inserimento tra gli altri anche dell’IBAN e del numero di carta di credito/scadenza/CVV, potrebbe indurre il destinatario a rispondere al mittente inviando le informazioni personali richieste.
L’Agenzia delle Entrate raccomanda ai cittadini di prestare la massima attenzione e, qualora ricevessero e-mail sospette, di non cliccare sui link in esse presenti, di non scaricare, aprire e compilare eventuali allegati, di non fornire credenziali d’accesso, dati personali e le coordinate bancarie in occasione di eventuali telefonate legate a questo tipo di fenomeni e di non ricontattare assolutamente il mittente di eventuali comunicazioni.
A pesca di dati
L’Agenzia delle Entrate disconosce questa tipologia di comunicazioni, rispetto alle quali si dichiara totalmente estranea. In caso di dubbi sulla veridicità di una comunicazione ricevuta dall’Agenzia, è sempre preferibile verificare preliminarmente consultando la pagina “Focus sul phishing”, rivolgersi ai contatti reperibili sul portale istituzionale www.agenziaentrate.gov.it o direttamente all’Ufficio territorialmente competente.
La tecnica con la quale si conduce questo attacco è sostanzialmente semplice: si distribuisce in maniera massiccia una mail che riproduce, in maniera più o meno accurata, quella di un servizio noto (come in questo caso l’Agenzia delle Entrate). Nel testo della mail, oppure all’interno di un allegato, è presente un link che porta a una pagina web, anch’essa il più possibile simile a quella “legittima”, nella quale l’utente ignaro inserisce in buona fede le informazioni riservate che vengono in questo modo raccolte dall’attaccante. il sistema è simile, per certi versi, alla pesca a strascico: si getta una rete più ampia possibile e si cerca di raccogliere ciò che vi rimane impigliato. Il nome “phishing” proviene proprio dall’idea di “andare a pesca” di informazioni riservate.
Il furto di informazioni non è tuttavia l’unico rischio: le tecniche tipiche del phishing vengono infatti utilizzate per mettere in atto anche attacchi più pericolosi. Il sistema di base è lo stesso: si tenta di ingannare il destinatario dell’attacco e convincerlo a eseguire un’operazione “normale”, come cliccare su un link o aprire un file allegato che all’apparenza sembra di provenienza legittima o comunque innocuo.
Lo scopo è quello di lanciare un malware, un software malevolo che può servire, ad esempio, per prendere il controllo del computer attaccato, oppure per estorcere denaro tramite un ransomware.