Phishing, come difendersi dai truffatori on line

Non c’è pace per i cittadini che, quando non hanno a che fare con L’Agenzia delle Entrate per scadenze e adempimenti vari, o guardano con terrore l’arrivo di qualche cartella esattoriale, devono vedersela anche con chi si spaccia per il Fisco “in persona”, con e-mail ingannevoli, o altro tipo di messaggi, che hanno il solo scopo di rubare i nostri dati.

Che cos’è il phishing

Il phishing (variante di fishing, "pescare" in inglese), è un tipo di truffa effettuata principalmente sul web. Ad operarla solitamente uno o più malintenzionati, quando non un’organizzazione specializzata, che cercano di ingannare la vittima, inducendola a fornire informazioni personali, codici di accesso o dati finanziari, fingendosi un ente affidabile o conosciuto dal destinatario, come l’Agenzia delle Entrate, appunto, o la propria banca. Nello specifico il termine fa riferimento all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente.

Attenzione ai loghi contraffatti o verosimili

L’ultimo avviso, pubblicato sul sito di Agenzia delle Entrate proprio lo scorso 23 febbraio riguarda una “Nuova campagna di phishing tramite false notifiche amministrative”, che utilizza un dominio simile a quello istituzionale dell’Agenzia per carpire le credenziali di accesso dei contribuenti.

Nel dichiararsi, ovviamente, totalmente estranea a questi messaggi, L’Agenzia delle Entrate indica gli elementi, relativamente facili da riconoscere e individuare, che rendono il messaggio un fake:

“la mail ha per oggetto “Avviso Raccomandata #AR1398WIS2K” (il numero di raccomandata è variabile) ed è inviata dal mittente “Agenzia Entrate Riscossione <no.reply@www.agenziaentrate.gov.it>”.

Il testo parla di una non meglio specificata “notifica amministrativa”, cui si potrebbe accedere tramite un link, ovviamente malevolo, che conduce a una pagina web contraffatta, riportante il logo dell’Agenzia delle entrate, nella quale è presente una finta schermata di login.

In questo caso particolare, il messaggio adotta alcuni accorgimenti per sembrare legittimo o comunque meno sospetto, in quanto non si chiede di compilare allegati o restituire informazioni, ma si fornisce “solo” il link diretto alla presunta comunicazione; si fa presente che la mail è unicamente “di cortesia” e che la comunicazione verrà inviata anche tramite raccomandata; viene utilizzato un dominio simile a quello dell’Agenzia.

Si potrebbe dire che, rispetto alla media, si tratta di un phishing confezionato tutto sommato in maniera discreta. Altro errore che però “rovina” il tutto, è che il mittente è “Agenzia Entrate Riscossione”, ente a sé specificano ancora da Agenzia Entrate, e che usa un proprio dominio ad hoc.

In aggiunta a quanto appena descritto, chi vi scrive ha ricevuto proprio di recente un’e-mail di questo genere, in questo caso il “mittente” era la Commissione di vigilanza dell’anagrafe tributaria, mentre nell’area testo campeggiava il logo dell’Agenzia delle Entrate (peccato che andando a verificare l’indirizzo e-mail non avesse nulla a che fare né con una, né con l’altra). Inoltre il testo, alquanto confuso, recitava:

“Gentile cliente, dall'esame dei dati e dei versamenti relativi alla Comunicazione delle eliminazioni periodiche Iva, da lei mostrate per Il trimestre 2023, sono emerse alcune incoerenze. Le informazioni relative alle incongruenze riscontrate sono disposti nel "Cassetto fiscale" (sezione l'Agenzia) disponibile dal sito internet dell'Agenzia delle Entrate (www.agenziaentrate.gov.it) e in versione intera nell'archivio allegato alla presente e-mail. La presente e-mail è stata riprodotta automaticamente, pertanto la raccomandiamo di non effettuare l'inoltro a questo recapito di posta elletronica.
Ufficio accertamenti, Direzione nazionale Agenzia delle Entrate”.

Oltre all’italiano incerto, ad insospettire è stata anche l’incoerenza di quanto esposto. Fatte le dovute verifiche personali, ho avuto la conferma che si trattava di una comunicazione fasulla, con un allegato che mi sono ben guardato dall’aprire.

I nostri dati “aggrediti” da più fronti

Ma non è solo l’email il mezzo per convogliare questo tipo di attacchi: oltre ad “innocenti” SMS, il phishing sta diventando sempre più “social”. Secondo un’indagine del 2017 condotta da Kaspersky, gigante di sicurezza informatica e citata dal sito cybersecurity360.it, Facebook è risultato uno dei primi tre obiettivi per il phishing (con un 8% circa), seguito da Microsoft Corporation (6%) e da PayPal (5%).

La dinamica è collaudata: il truffatore “clona” la pagina di un social network (una falsa pagina Facebook, ad esempio) cercando di attrarre le sue vittime ed indurle poi a condividere i propri dati personali (come nome, password, numero di carta di credito, codice PIN, etc.).

A ciò si aggiunga che ultimamente anche la cosiddetta Generazione Z (cioè i giovani tra i 16 e i 26 anni) è diventata bersaglio dei criminali informatici, che utilizzano come “chiave d’accesso” per i loro attacchi l’universo del gaming.

Alcuni consigli pratici per difendersi

Di fronte ad attacchi di questo tipo, che siano e-mail di Agenzia dell’Entrate o di altro ente, o ancora veicolati in altro modo, è importante non farsi prendere dal panico e tenere presenti alcune indicazioni:

Questo tipo di email (o messaggi) di phishing hanno solitamente un tono allarmistico, del tipo: “Se non rispondi, il tuo account verrà chiuso in 48 ore”. Prendersi quindi il tempo necessario e svolgere tutte le verifiche del caso. Fare riferimento ai contatti reperibili sul sito istituzionale o all’ufficio delle entrate (o di quello da cui proviene la comunicazione) competente per territorio.

Prima di cliccare qualunque indirizzo, controllare sempre link e mittente della mail; nella maggior parte dei casi non corrisponderanno al soggetto che dice di contattarvi; ciò può essere fatto passando semplicemente il mouse sopra il mittente e il link stesso.

Usare connessioni sicure e non condividere i dati sensibili

Usare connessioni sicure, specie quando si accede a siti sensibili. Meglio sarebbe non sfruttare connessioni sconosciute o i wi-fi pubblici, senza una password di protezione. Per una maggiore sicurezza, si possono installare VPN in grado di cifrare il traffico. Ricordiamo sempre che, in caso di utilizzo di una connessione non sicura, si può essere reindirizzati a nostra insaputa a pagine di phishing.

Verificare che la connessione sia HTTPS e il nome del dominio in apertura di una pagina. È fondamentale soprattutto quando ci si reca su siti che contengono dati sensibili, come pagine di banking online, social media, negozi virtuali etc.

Non condividere mai i propri dati sensibili con terze parti. Gli enti pubblici o le banche non chiedono mai informazioni del genere via email, piuttosto invitano a recarsi autonomamente sul sito di riferimento o sul proprio profilo, senza inserire all’interno del messaggio alcun link.

È poi possibile segnalare questo tipo di episodi alla Polizia Postale, direttamente sul suo sito, dove sono presenti le indicazioni del caso. Effettuata la denuncia, verrà aperto un regolare fascicolo, trasmesso alla Procura della Repubblica per le necessarie autorizzazioni a procedere.

In ogni caso, la regola aurea da seguire per difendersi da questo tipo di attacchi alla nostra privacy (e anche ai nostri beni!) è quella di tutelare le nostre informazioni al massimo.

Per questo è necessario generare e gestire i propri dati con cura (magari cambiando spesso i vari username e password, abitudine noiosa, ma necessaria), diffonderli il meno possibile; infine, non farsi assalire dall’ansia: gli strumenti per smascherare eventuali cybertruffe e poter gestire al meglio situazioni del genere, come abbiamo visto, ci sono.