La nascita di internet ha aperto molte nuove possibilità, che attraverso l'interconnessione tra computer remoti ha dato il via ad una vera e propria rivoluzione sociale e culturale. Oltre ai moltissimi aspetti positivi sono nate anche numerose attività poco simpatiche; basti pensare che il primo virus venne messo in rete prima ancora che internet si chiamasse internet.
Il phishing mira ad ottenere attraverso l'inganno dati sensibili di un' ignara vittima, quali ad esempio dati bancari, account di posta elettronica e altro. La caratteristica che rende particolarmente odiose queste tecniche è che si basano su dei raggiri a danno dell'utente, cosa questa che le rende vere e proprie truffe.
La tipologia standard di attacco prevede l'invio di una e-mail che simuli nella grafica e nel contenuto quella di una istituzione nota al destinatario, per esempio una banca o un provider web. La mail contiene quasi sempre un avviso legato a situazioni particolari per cui si rende necessario regolarizzare la propria posizione, o in alternativa avvisa di vincite e premi. A questo punto viene richiesto di seguire un link che porta ad una copia fasulla del sito ufficiale, ospitata su server di comodo controllati dal phisher (letteralmente, pescatore) che a questo punto ottiene le informazioni che gli consentono l'accesso a conti correnti o ad altri dati sensibili.
I primi tentativi potevano essere facilmente scoperti in quanto i messaggi erano scritti in un italiano molto stentato, mentre le copie dei siti risultavano di cattiva fattura. Purtroppo però, con il passare del tempo, i messaggi e le copie dei siti sono diventati di fattura migliore e quindi diventa più difficile individuare i possibili tentativi di phishing; uno dei "trucchetti" più utilizzati è proprio quello di inserire nei messaggi avvisi relativi ai tentativi di truffa.
Fortunatamente esistono alcuni strumenti che consentono di proteggerci, in primo luogo dei filtri, analoghi a quelli antispam, forniti dai gestori di posta elettronica che sono in grado di bloccare buona parte dei tentativi di attacco. Oltre a questi esistono anche dei filtri a livello di browser che bloccano l'accesso a siti a rischio segnalando anomalie agli utenti.
Queste tecniche non sempre riescono ad intercettare tutti i tentativi di truffa. Uno dei problemi principali è legato alla mancanza di integrazione da parte dei vari soggetti che attuano queste misure di protezione; in Italia, la Polizia Postale, che è l'ente preposto alla tutela contro questo genere di truffe, non fornisce alcuno strumento a disposizione dei provider. Come regola generale per tutelarsi è importante tenere a mente che banche, istituti di credito o altre istituzioni non inviano mai e-mail che richiedano l'immissione di dati sensibili.
Prima di concludere, un consiglio personale: nel caso in cui riteniate plausibile un messaggio che risponde a queste caratteristiche, evitate di utilizzare i link presenti e recatevi sul sito direttamente attraverso ricerche o dai link salvati tra i vostri bookmark (segnalibri), oppure in alternativa telefonate e chiedete chiarimenti. Se l'avviso era legittimo sicuramente ne troverete traccia anche nel vostro account.
Se lo riterrete opportuno non esitate a segnalare all'istituzione interessata (Polizia Postale, associazioni anti-phishing, ecc.) che siete stati vittima di un tentativo di phishing: la vostra segnalazione potrebbe essere utile per impedire che altri incappino nella stessa situazione.
