Il rischio di vedersi prosciugare le casse aziendali è concreto. Perché il phishing, truffa perpetrata via e-mail inizialmente verso i risparmiatori e gli operatori finanziari, ha via via allargato il proprio raggio di azione e oggi punta anche alle aziende di tutti i settori, dai servizi all’industria, dalle pmi alle grandi aziende. Eppure gli strumenti per difendersi da quella che è divenuta la truffa online più diffusa non mancano, a patto di non abbassare mai la soglia di attenzione.
Pesca a strascico o quasi. Il termine «phishing» nasce dall’unione delle parole inglesi phone (telefono) e to fish (pescare). In pratica vengono carpiti dati riservati di un utente (password, numeri e codici di carte di credito) per utilizzarli abusivamente.
L’utente web riceve un’e-mail nella quale gli viene richiesto di inserire i propri dati sensibili. L’esca è rappresentata da link simili a quelli originali (per lo più banche e assicurazioni), ma che conducono l’utente su spazi web gestiti dai truffatori.
Risalire all’autore della truffa è molto complesso, anche perché questi siti fantasma vengono spostati continuamente su server in differenti nazioni. Eppure non tutti la fanno franca. Nel corso dell’estate le autorità italiane hanno sgominato una banda internazionale di truffatori che era riuscita a trarre in inganno ben 55 aziende. Tutto è partito da un pagamento di 33 mila euro effettuato tramite bonifico da un’azienda veneta del settore alimentare a quello che credeva essere il proprio fornitore. In realtà i pc di quest’ultimo erano stati hackerati dalla stessa banda che ha incassato il versamento. A gestire le attività di phishing era una rete di nigeriani, camerunensi e senegalesi, alcuni residenti in Italia.
Truffe in crescita. Il fenomeno è in crescita, come segnala un report di MarkMonitor. «Come da tradizione, l’industria finanziaria risulta quella maggiormente presa di mira dagli attacchi di phishing, con il 41% di attacchi nel primo semestre 2015», spiega Jerome Sicard, regional manager Southern Europe della società. «Ma se per questo comparto i numeri restano sostanzialmente stabili, tra le aziende degli altri settori gli attacchi sono sostanzialmente quadruplicati nell’ultimo anno e mezzo». Da qui un consiglio alle aziende: «Se recentemente non avete avuto modo di verificare, varrebbe la pena riesaminare se i truffatori stiano o meno utilizzando a proprio vantaggio il vostro nome e lanciando attacchi di phishing». Come? «Per esempio, abbiamo registrato un numero di aziende di software che non erano mai state attaccate prima e che ora improvvisamente sono state prese di mira. Questi truffatori sono particolarmente in gamba e sono in grado di aggiornare le loro strategie e i loro obiettivi. Per questo motivo, per proteggere i propri clienti, la reputazione del proprio marchio e la credibilità, è fondamentale progettare una strategia di protezione del brand che possa essere in grado di rilevare e mitigare gli attacchi».
Gli errori dei dipendenti. Conferme in tal senso arrivano dalla vicenda che ha coinvolto l’azienda it Salesforce, i cui clienti sono stati esposti all’invio di malware e messaggi di phishing a causa dell’incuria di un suo dipendente.
Quest’ultimo, abboccando a un tentativo di phishing, ha di fatto consentito ai malfattori di accedere ai dati dei clienti aziendali. I responsabili informatici di Salesforce hanno rilevato con prontezza la truffa in atto e sono intervenuti, ma non tutti sono altrettanto tempestivi. Eppure vi sono dei segnali che possono aiutare a comprendere i pericoli in atto. Ad esempio, è opportuno diffidare di tutte le richieste di fornitura del proprio numero di carta di credito o conto corrente. Qualora si presentasse un qualsivoglia problema, la banca non userebbe di certo l’e-mail per comunicare.
Un’altra spia è nell’italiano approssimativo (errori di ortografia, battitura o sintassi) che in genere caratterizza le e-mail esca, tradotte attraverso programmi informatici che non hanno ancora raggiunto la precisione umana.
Un’altra raccomandazione è di digitare l’indirizzo direttamente nella barra degli indirizzi del tuo browser, evitando di utilizzare i link presenti in messaggi di posta elettronica per accedere a siti di home-banking, finanziari, postali e simili.
Inoltre è bene diffidare dei messaggi invitanti: spesso l’esca è costituita dal tentativo di far credere agli utenti che gli si sta regalando qualcosa. In questi casi vale la vecchia raccomandazione di «non accettare nulla dagli sconosciuti», ricordando che tali sono anche gli utenti con amicizie condivise su Facebook. Spesso, infatti, i truffatori falsificano le porte d’accesso: secondo Kaspersky Lab, circa un terzo degli avvisi del suo modulo anti-phishing riguardava reazioni a siti web di phishing che falsificavano siti di social media.