Una truffa di phishing è un furto di identità che arriva via e-mail. L’e-mail sembra provenire da una fonte legittima come un’azienda fidata o un istituto finanziario e include una richiesta urgente di informazioni personali che di solito richiamano la necessità critica di aggiornare immediatamente un account. Facendo clic su un collegamento fornito nell’e-mail si accede a un sito Web dall’aspetto ufficiale. Le informazioni personali fornite a questo sito, tuttavia, vanno direttamente all’artista della truffa.
La frode è un problema crescente su Internet poiché le persone sono indotte con l’inganno a fornire informazioni personali inclusi numeri di carta di credito, password, nome da nubile della madre, numeri di conto bancario, codici di accesso bancomat e numeri di previdenza sociale. Le protezioni antivirus e i firewall non catturano la maggior parte delle truffe di phishing perché non contengono codice sospetto, mentre i filtri antispam le lasciano passare perché sembrano provenire da fonti legittime.
I collegamenti inclusi nelle truffe di phishing portano la persona ignara a un sito Web fraudolento progettato per imitare la realtà, spesso fin nei minimi dettagli, inclusi avvisi di copyright, titoli di sottomenu e così via. È praticamente impossibile per la maggior parte delle persone dire di essere il bersaglio di un phisher guardando solo il sito. Tuttavia, gli indizi nell’indirizzo possono talvolta rivelare l’inganno.
Caratteri dall’aspetto simile potrebbero essere sostituiti nell’ortografia del collegamento per il carattere reale in modo che venga utilizzato un “1” (uno numerico) al posto di una “L” minuscola. Ad esempio, i phisher hanno utilizzato paypa1.com anziché paypal.com. Altre volte un indirizzo IP, un indirizzo numerico, viene utilizzato per nascondere il fatto che il collegamento non sta portando la vittima al sito reale. Tuttavia, le truffe di phishing sono diventate così sofisticate che i phisher possono anche sembrare che utilizzino collegamenti legittimi, fino al certificato di sicurezza del sito reale.
Il modo migliore per proteggersi dalle truffe di phishing è evitare di fornire informazioni personali a una richiesta e-mail. Se la richiesta potrebbe essere legittima, il servizio clienti dell’azienda dovrebbe essere chiamato per verificare la richiesta prima di fornire qualsiasi informazione; eventuali numeri di telefono contenuti nell’e-mail, se inclusi, non devono essere utilizzati. Anche se la richiesta è legittima, si dovrebbe inserire manualmente l’indirizzo richiesto nel browser anziché fare clic su un collegamento, poiché una truffa di phisher potrebbe plausibilmente funzionare in concomitanza con attività legittime.
Ad esempio, all’inizio di aprile 2005 un’e-mail di massa che sembrava provenire da Microsoft Corporation invitava i destinatari a scaricare un aggiornamento di sicurezza tanto atteso. Coloro che hanno fatto clic sul collegamento nell’e-mail sono stati indirizzati a un sito che sembrava un sito di aggiornamento Microsoft legittimo. Invece di aggiornare il loro software, tuttavia, stavano effettivamente scaricando un cavallo di Troia, un programma di accesso remoto in grado di rubare informazioni personali. Microsoft non utilizza la notifica e-mail in questo modo, ma molti utenti sono stati colti alla sprovvista.
La famosa “lettera dalla Nigeria” era un altro tipo di truffa di phishing. Questo tipo di truffa è così diffuso che ha il suo nome: 419 scam. Il phisher si finge un funzionario nigeriano in difficoltà che richiede un conto bancario statunitense per scaricare denaro. La persona che ha consentito l’uso temporaneo del proprio account riceverà una bella ricompensa. Invece chi ha fornito le proprie informazioni bancarie diventa vittima di furto.
Negli Stati Uniti, la Federal Trade Commission (FTC) e altri si sono concentrati sull’istruzione pubblica per combattere le truffe di phishing, poiché è difficile catturare i phisher. I siti fraudolenti operano per periodi di tempo molto brevi e spesso vengono eseguite truffe da altri paesi. Nel marzo 2005, Microsoft ha intentato 117 cause di phishing nel distretto occidentale di Washington con imputati senza nome.
L’Anti-Phishing Working Group (APWG) è un’organizzazione internazionale di volontari che lavorano per tenere traccia delle truffe di phishing. Il loro sito Web mantiene un database online di e-mail fraudolente inviate loro. Puoi controllare questo sito per nuove truffe o inviare loro l’e-mail di phisher che ricevi. L’APWG è in gran parte un hub di informazioni, ma fornisce collegamenti alle risorse dei consumatori. La FTC ha anche consigli per i consumatori, un indirizzo e-mail per segnalare il phishing, sul proprio sito web.