Come proteggersi dal phishing

Cos'è il phishing

Il termine phishing indica una forma di adescamento che consiste in truffe attraverso strumenti informatici come e-mail, SMSmessaggi Whatsapp volti a ottenere informazioni o denaro dalla vittima. 

I rischi

A seconda delle informazioni ottenute, il malintenzionato può ad esempio:

  • prendere il controllo della nostra posta elettronica e leggere tutta la corrispondenza archiviata, scoprendo ulteriori informazioni a suo vantaggio
  • ottenere denaro
  • accedere a servizi in rete sfruttando l'identità della vittima e facendo ricadere su di lei la responsabilità delle azioni compiute

Come funziona

Gli attacchi di phishing usano diverse tecniche per far credere di provenire da una fonte sicura, sfruttando il fatto che in molti canali di comunicazione è possibile camuffare il mittente reale.

Conquistata la fiducia della vittima, è facile indurla a trasmettere al malintenzionato le informazioni che cerca, ad esempio attraverso moduli online su pagine web accuratamente falsificate oppure e-mail o messaggi.

Come difenderti  
Riconosci il phishing e non cadere nella trappola

Fai attenzione! L’arma più efficace per difenderti dalle truffe online è tenere gli occhi aperti e non essere troppo impaziente di fare click sui link contenuti nei messaggi. 

Non fidarti del nome visualizzato come mittente

Un nome che ti sembra di conoscere non garantisce che il messaggio provenga davvero da quel contatto: controlla che l’indirizzo del mittente sia coerente e significativo, ma soprattutto chiediti sempre se il contenuto del messaggio sia conforme allo stile e al tipo di rapporti che hai con lui/lei.

Verifica i link

Verifica sempre i link contenuti nel messaggio passandoci sopra con il mouse prima di cliccarli e controllandone l’anteprima, in particolare il dominio di destinazione cioè la parte più a destra dell'indirizzo.
Se puoi, non usare il link fornito, ma naviga manualmente sul sito web fino a raggiungere la pagina di interesse.

Fai attenzione agli allegati

Apri eventuali documenti allegati solo se provenienti da fonti verificate e non facendo doppio click sul file, bensì avviando prima il programma opportuno e poi caricando da lì l’allegato.

Non fidarti di un sito "non sicuro"

Quando inserisci informazioni personali on line, controlla sempre che il sito non sia marcato come “non sicuro” sulla barra dell'indirizzo nel browser (questo succede quando l'indirizzo web inizia con http anziché https). Se il sito è marcato come "non sicuro", non inserire nulla.

Non cedere all’urgenza

Al minimo dubbio verifica le informazioni usando canali diversi da quelli contenuti nel messaggio. Per esempio non chiamare un numero ricavandolo dal messaggio stesso.

Fidati del browser (Chrome, Edge, Firefox, Opera...)

Se vieni bloccato dal browser perché ha trovato qualche anomalia sul sito che stai consultando, verifica con attenzione prima di proseguire.

Presta attenzione nell'inserire informazioni personali

Quando inserisci informazioni personali o credenziali, presta prima particolare attenzione a tutti i segnali di rischio descritti sin qui. Nel dubbio: non farlo.

Hai ancora dubbi?

Contatta il Security Operations Center dell'Università Ca' Foscari attraverso la procedura di ticket previa autenticazione.
Solo nel caso in cui non ti sia possibile accedere alla procedura di ticket, scrivi un'e-mail a  sicurezza@unive.it con una breve descrizione del problema.

Cosa fare se sei vittima di phishing

  • Hai dato copia del tuo nome utente/password?
    Cambia subito la password.
  • Hai dato accesso alla tua posta elettronica?
    Ricapitola tutte le altre informazioni che conteneva (per es. altre password) e cambia anche quelle.
  • Hai dato il numero della tua carta di credito e il relativo codice CVV?
    Bloccala subito e cambiala a breve.
  • Hai dato il tuo numero di telefono?
    Fai attenzione a tutte le telefonate e ai messaggi sospetti nell’immediato futuro.

Qualche consiglio per proteggere le tue password

L’uso di password può essere scomodo e imperfetto, ma è il modo più diffuso per confermare l’identità. Una password scelta con accortezza difende la tua identità da molti attacchi, ma nei casi di phishing spesso è proprio la vittima a fornirla al malintenzionato.
Contro questo rischio le protezioni più opportune sono:

  1. abilitare l’autenticazione a più fattori, dove possibile o almeno per i servizi/siti più critici. Si possono utilizzare diversi strumenti come Google Authenticator o altri legati a servizi specifici, tenendo conto che quelli che si basano sull’invio di SMS non sono da considerarsi davvero sicuri.
  2. non riutilizzare la stessa password per più servizi/siti. Si può ricorrere a uno dei numerosi password manager (ad esempio KeepassX), strumenti che consentono di mantenere un proprio “portachiavi” cifrato semplificandone la gestione e proteggendolo con una password da non comunicare mai a terzi.

Last update: 26/11/2021