Phishing

Il phishing (spillaggio) è un'attività illegale che sfrutta le comunicazioni via email per indurre in inganno gli utenti ed intercettare i loro dati e informazioni personali, al fine di perpetrare il furto dell'identità. Negli ultimi anni il phishing ha preso la forma dei falsi messaggi di posta elettronica che sembrano provenire da enti e siti istituzionali, in tutto e per tutti uguali nella grafica e nel logo, ma sono in realtà inviati agli utenti dalle attività criminali online (dette phisher). La comunicazione trae in inganno l'utente. Cliccando sui link contenuti nel messaggio email si approda sul sito web del phisher, la cui grafica riproduce con esattezza quella del sito web istituzionale clonato. L'utente digita i propri dati (es. password, numero di carta di credito, logon-id) credendo di essere sul sito istituzionale del servizio online. Il phisher acquisisce le informazioni e le riutilizza ai danni dell'utente. Ad esempio, usando le password per accedere sul vero conto online dell'utente o il numero della carta di credito per effettuare acquisti all'insaputa del proprietario della carta.

Origine del phishing

Il phishing nasce da una variante del termine "fishing" (pescare). In effetti quello che il phisher compie è una vera e propria pesca in attesa che qualche utente "abbocchi" all'inganno. Il phishing è sempre esistita come truffa. Prima dell'arrivo di internet questo genere di frode era perpetrata tramite telefono. A partire dalla metà degli anni '90 viene coniato il termine phishing per identificare le truffe online basate sul furto dell'identità personale. Sull'origine del termine phishing ci sono diverse interpretazioni. La più affidabile fa derivare il neologismo dal verbo "fishing" (pescare) e dal termine "phreaking" (Phone Hacking).

Come si presenta un attacco di phishing

• Il phisher invia una falsa email. L'attività criminale (phisher) spedisce all'utente (vittima) una falsa email che simila nella grafica e nelle comunicazioni quella di una istituzione (banca, sito d'aste, ecc). Nel messaggio email si invita l'utente ad accedere sul sito dell'istituzione per effettuare un'operazione importante. Il phisher cerca di fare leva sulla leva emozionale dell'utente (vittima) agendo sul piano dell'urgenza. Ad esempio: "oggi scade il suo abbonamento su XXX, acceda sul sito XXX per rinnovare il servizio". All'interno dell'email viene inserito un link che apparentemente sembra essere indirizzato verso il sito istituzionale. In realtà, il link è collegato al falso sito web clonato dal phisher.
• L'utente clicca sulla email ed accede al sito del phisher. L'utente, ignaro di tutto, inserisce la propria logon-id e password per accedere al servizio, consegnando inconsapevolmente queste informazioni al phisher.
• Il phisher utilizza le informazioni ai danni dell'utente. Ad esempio, se le informazioni riguardano l'accesso ad un conto bancario online il phisher può utilizzarle per trasferire somme di denaro sui propri conti all'estero, se si tratta di un numero di carta di credito può usarlo per acquistare merce, se si tratta di dati sensibili può utilizzarli come dati di copertura nelle attività illecite ecc.

Spesso l'utente non si accorge immediatamente d'essere vittima di phishing. Nel momento in cui si logga sul sito del phisher può essergli mostrato un messaggio di interruzione temporanea del servizio o di password errata al fine di non insospettirlo. Una volta raccolto i dati sensibili al phisher non resta altro che inserire il "redirect automatico" della pagina del browser verso il vero sito web istituzionale (ad esempio della banca). Nel momento in cui l'utente riprova ad inserire la password e la logon-id trovandosi questa volta sul vero sito web istituzionale accede senza problemi al servizio. Nel primo tentativo ha però consegnato inconsapevolmente la propria password al phisher. I due siti web erano in tutto e per tutto identici dal punto di vista grafico.