Phishing
Per utilizzare Internet e tutte le sue possibilità, gli/le internauti/e devono di volta in volta fornire alcuni dati personali. Questa esigenza è sfruttata dai criminali che rubano dati personali o tentano, con mille sotterfugi, di spingere gli utenti a fornire loro questi dati.
Definizione
Il termine «phishing» deriva dall’unione delle parole inglesi «password», «harvesting» (raccogliere le messi) e «fishing» (pescare). Come lo indica il nome stesso, il phishing è una tecnica messa in atto da truffatori per accedere ai dati confidenziali di ignari internauti come password agli account di e-mail, della Posta, eBanking o siti di vendita e aste online. Gli attacchi di phishing possono essere sferrati da bande organizzate o anche da singole persone via e-mail, su siti web, tramite un servizio di telefonia che sfrutta le connessioni Internet (VoIP) oppure via SMS.
I truffatori utilizzano poi i dati ottenuti con l’inganno o rubati per compiere vari delitti patrimoniali: a nome della persona derubata effettuano versamenti bancari, acquisti online o piazzano addirittura false offerte su siti di vendita e aste online. I dati d’accesso all’account dell’e-mail ottenuti con l’inganno consentono ai truffatori di avere il totale accesso ad altri account e-mail. In questo modo, i truffatori possono inviare ulteriori false e-mail ai contatti della vittima di phishing, modificare la password o bloccare l’account.
Tipiche caratteristiche di un attacco di phishing
Gli attacchi di phishing variano molto, ma presentano comunque caratteristiche tipiche e punti in comune.
- All’inizio di ogni attacco di phishing, una persona è invitata a rivelare i propri dati personali. Il pretesto può variare: necessità di attualizzare i dati personali per motivi di sicurezza, di aggiornare il rispettivo conto utente oppure dati richiesti da un’autorità per procedere ad un rimborso, per esempio di costi di elettricità, ecc.
- La vittima riceve generalmente questi inviti via e-mail che contengono un link verso un sito falsificato.
- Sul sito falsificato, la vittima è poi esortata a fornire i propri dati compilando un formulario. Oltre a chiederle dati bancari confidenziali, è pure invitata ad indicare altri dati personali come nome, cognome, indirizzo e-mail, nome utente e password dei vari conti, ecc.
- L’indirizzo del mittente e i contenuti dell’e-mail di phishing come pure la concezione del sito web al quale il contenuto dell’e-mail di phishing rinvia fanno credere al destinatario che il mittente sia un rinomato istituto finanziario oppure una nota piattaforma di vendita e aste online (p. es. Ricardo o eBay), la Posta o ancora che si tratti di un provider di posta elettronica o di un’autorità.
- Capita anche che siti web di società serie siano piratati per inserirvi una pagina di phishing. Questa problematica è nota soprattutto nel settore dei servizi bancari online.
Situazione giuridica
Il codice penale svizzero (CP) non contempla il reato di phishing. Per punire questo delitto, si possono tuttavia applicare spesso gli articoli seguenti.
- Art. 143 CP: Acquisizione illecita di dati
- Art. 143bis CP: Accesso indebito a un sistema per l’elaborazione di dati
- Art. 144 CP: Danneggiamento
- Art. 147 CP: Abuso di un impianto per l’elaborazione di dati
- Art. 251 CP: Falsità in documenti
- Art. 305bis CP: Riciclaggio di denaro
Cosa fa la polizia?
È molto difficile perseguire singolarmente reati di phishing, perché non sono disponibili raccolte di informazioni sull’infrastruttura tecnica usata dai truffatori che inondano le caselle di posta elettronica con invii analoghi di phishing. Spesso, i truffatori creano pagine di phishing con l’ausilio di servizi proxy ubicati all’estero. Per dissimulare la loro identità, i truffatori inviano spesso e-mail di phishing tramite botnet (reti formate da dispositivi informatici collegati a Internet) oppure inseriscono pagine phishing su server di terzi ospitati all’estero oppure piratati. Inoltre, i dati rubati sono generalmente rivenduti e utilizzati da altri truffatori. Dato che le inchieste sono molto onerose e, in vari casi, anche impossibile da condurre, è ancora più importante proteggersi da questi attacchi.
Cosa posso fare?
Per evitare di diventare vittime di un attacco di phishing
- Tenete presente la regola seguente: i fornitori di servizi seri come banche, la Posta, siti di vendita e aste online, autorità e istituzioni analoghe non invitano mai via e-mail o telefono a fornire password o dati di carte di credito.
- Siate perciò estremamente diffidenti se ricevete e-mail che vi esortano a fornire i vostri dati personali affermando che se non procedete in tal senso, ne subirete le conseguenze come perdite di denaro, denuncia penale o blocco delle carte.
- Cancellate sistematicamente queste e-mail e soprattutto non cliccate mai sui link indicati.
- Verifica dei siti web sospetti: https://checkawebsite.ibarry.ch
Se siete diventi vittime di un attacco di phishing
- Modificate immediatamente le password che avete comunicato e create nuove password più sicure.
- Se avete rivelato dati confidenziali, contattate subito il vostro fornitore di servizi (istituto finanziario, provider o servizio di posta elettronica) e spiegategli la vostra situazione.
- Segnalate inoltre l’attacco di phishing a MELANI con l'apposito formulario d'annuncio.
Phishing
Ecco come vi potete proteggere dal phishing
Il pieghevole «Phishing - Ecco come vi potete proteggere dal phishing» è stato realizzato in collaborazione con «eBanking – ma sicuro!». In questo pieghevole si spiega come funziona esattamente il phishing e a cosa bisogna prestare attenzione quando si ricevono e-mail di phishing. (Il pieghevole è inoltre disponibile in inglese.)
