I tentativi di phishing e di truffe cibernetiche vengono talvolta messi a segno attraverso account di amici e parenti, spesso hackerati. Quindi anche i tuoi contatti più stretti, senza volerlo, diventano diffusori di malware. Fidarsi è bene, non fidarsi è meglio.

La fiducia sta alla base dei nostri rapporti: accettiamo quello che ci dice un amico perché di lui ci fidiamo. Tendiamo a estendere questo comportamento anche quando siamo in rete: se un messaggio o una email ci arriva da un mittente che conosciamo, ci fidiamo e lo accettiamo. Purtroppo in rete mascherarsi è molto più facile che nella realtà ed è quello che fanno molti truffatori: si “travestono” da un mittente che è  tra i nostri contatti (un amico, la banca. l’assicurazione, l’associazione benefica) e carpiscono la nostra fiducia, inducendoci a dare loro informazioni che dovrebbero restare riservate: password, codici di accesso ecc. Si tratta di un vero e proprio attacco hacker che va sotto il nome di attacco di ingegneria sociale (social engineering). Gli attacchi di phishing sfruttano questo comportamento e inducono i destinatari di un messaggio malevolo a compiere un’azione imprudente. Questi messaggi possono arrivare via email (e allora si tratta proprio di phishing) o per messaggio e in questo caso si parla di smishing o tramite una telefonata e prende il nome di vishing. Riconoscere un messaggio falso a volte e’ abbastanza facile, perche’ magari e’ scritto male, in un italiano scorretto e questo dovrebbe insospettirci. Controllare bene l’indirizzo del mittente di una email è una buona tecnica di difesa e anche passare il mouse o il dito sul link al quale ci suggeriscono di collegraci puo’ rivelare il vero indirizzo di destinazione che possiamo riconoscere come falso.   Il phishing (e i suoi “derivati”) non è l’unico tipo di truffa basata sul social engineering. Spesso ci sono siti che riproducono esattamente nell’aspetto un sito a noi noto (e.g.,p.es. quello della banca) ma ne sono una copia, che noi interpretiamo come vera e accettiamo di inserire i nostri dati e le nostre informazioni private, cadendo nella trappola. Questo attacco si chiama spoofing e per evitarlo spesso e’ sufficiente controllare che l’indirizzo del sito sia veramente identico a quello della nostra banca.

Un’altra raccomandazione è riflettere sempre prima di scaricare applicazioni gratuite su store non ufficiali: potrebbero contenere malware in grado di registrare dati personali come password (ma non solo). Attenzione anche alla gestione dei permessi nelle app: concedere l’autorizzazione fidandosi in modo acritico potrebbe dare il via libera a varie forme di registrazione e furto di dati.