Il “phishing” consiste nell’uso di e-mail e di falsi siti Web per indurre gli utenti con l’inganno a fornire informazioni confidenziali o personali.
Solitamente l’utente riceve una e-mail che sembra provenire da una società rispettabile, ad esempio una banca. Il messaggio contiene quello che pare essere il link al sito Internet dell’azienda. Tuttavia, se si seleziona il collegamento, l’utente viene reindirizzato su un sito fittizio. Tutti i dati inseriti, come numeri di conto, PIN o password, possono essere sottratti e utilizzati dagli hacker che hanno creato la replica del sito.
A volte il collegamento è diretto al sito originale, ma viene nascosto da una finestra di popup sovrapposta. In questo modo l’utente visualizza l’indirizzo del sito originale sullo sfondo, ma le informazioni vengono inserite nella finestra di popup e quindi vengono rubate.
Talvolta gli hacker utilizzano una tecnica chiamata “cross-site scripting”: Il collegamento porta al sito autentico, ma i contenuti vengono gestiti da fonti inaffidabili. Ancora una volta, la parte del sito nella quale vengono inserite le informazioni viene gestita dagli hacker.
Il fenomeno del “phishing” è iniziato negli anni Novanta. I truffatori utilizzavano questa tecnica per rilevare le informazioni relative agli utenti di AOL al fine di accedere ai servizi Internet gratuitamente. Le informazioni sottratte erano chiamate “phish” perché venivano “pescate” in seguito alla digitazione dell’utente (“fish” in inglese significa “pesce”). La grafia “ph” rimanda alla parola “phreaker”, termine utilizzato per indicare coloro che compiono operazioni illecite sulla rete telefonica. Bisogna prestare sempre attenzione ai messaggi di posta che utilizzano formule generiche, ad esempio “Gentile cliente” ed evitare di cliccare sui link contenuti nella mail. E’ consigliabile digitare l’indirizzo del sito nell’apposita barra per navigare all’interno della pagina autentica, oppure utilizzare un collegamento della lista “Preferiti” (o Segnalibri).
I software antispam sono in grado di bloccare i tentativi di phishing tramite e-mail. Alcuni programmi riescono a individuare il contenuto potenzialmente pericoloso delle pagine Web o delle e-mail e forniscono una barra strumenti grazie alla quale è possibile verificare il dominio effettivo a cui si accederebbe selezionando un determinato link.
Fonte: Sophos.it