Evitare il phishing anche in azienda. Il vademecum del Garante Privacy
Il Garante per la protezione dei dati personali ha pubblicato un utile vedemecum che riassume le principali azioni da compiere e non compiere per evitare di incappare nel pishing.
Si tratta di best practice che invitano ad usare il buon senso anche in azienda per scongiurare il rischio di furto di dati personali che può tramutarsi poi in truffe, furti di identità e appropriazione illecita di denaro.
Cosa è il pishing
Tutti o quasi ormai abbiamo compreso che il termine "pishing" non equivale a cosa buona.
Il pishing, infatti, è una tecnica subdola e ingannevole che viene sfruttata per appropriarsi di informazioni riservate riferite ad una persona o ad un’azienda – come ad esempio, username e password, codici di accesso (come il PIN del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito.
L’obiettivo del furto di tali informazioni è sostanzialmente quello di compiere azioni illecite e truffaldine.
La truffa, di solito, viene perpetrata inviando un messaggio e-mail, ma anche via SMS, chat o social media.
Il soggetto da cui il messaggio proviene si presenta come un istituto di credito, un ente pubblico, un’azienda di cui si è già cliente che invita l’utente contattato a rispondere al messaggio o alla email e a rilasciare i propri dati personali, ponendo un problema di natura tecnica o contrattuale da risolvere in merito ad un conto bancario, una carta di credito, una poste pay oppure paventando la possibilità di cogliere un’offerta promozionale o ancora gestire una pratica di rimborso.
A volte, all’utente viene richiesto di rispondere alla email o al messaggio ricevuto via smarpthone e a fornire i propri dati personali oppure gli si chiede di cliccare su un collegamento ipertestuale presente nel messaggio email o nell’SMS e compilare un form presente nella pagina web di atterraggio; i dati così estorti vengono poi utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura compiere attività illecite utilizzando il suo nome e le sue credenziali.
E allora come proteggersi dal rischio di incappare nel "pishing"?
Premesso che ciascuno di noi può essere vittima di pishing perché, spesso, la truffa è architettata talmente tanto bene da non consentirci di accorgersi che si tratta di un fake, occorre comunque fermarsi un attimo e riflettere prima di agire con l’immediatezza che ci caratterizza ormai presi dall’ansia e dall’abitudine di cliccare subito per ottenere una qualche risposta.
I cybercriminali giocano proprio sulle nostre abitudini e sull’istinto delle persone, pertanto keep calm e occhio alla truffa!
Secondo poi, ricordiamo, come ci suggerisce anche il Garante, che:
- dati, codici di accesso e password personali NON dovrebbero mai essere comunicati a sconosciuti;
- banche, enti pubblici, piccole aziende e grandi aziende, NON richiedono informazioni personali via e- mail, sms, social media o chat.
Pertanto:
- NON fornire mai dati personali, in particolare dati collegati al nostro conto mediante questi canali;
- NON cliccare sui link contenuti in questi messaggi se qualcosa non ci torna;
- NON aprire allegati che potrebbero contenere virus o altri programmi infetti.
Spesso già a partire dall’URL del sito di destinazione del link contenuto nel messaggio, si può comprendere che quello stesso messaggio non proviene, in verità, dal dominio vero del sito ufficiale riconducibile al soggetto giuridico che finge di essere. Una piccola astuzia suggerita anche dal Garante è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi, si potrà così leggere in basso, a sinistra
nel browser, il vero nome del sito cui si verrà indirizzati.
E' molto importante prestare attenzione al contenuto del messaggio ricevuto
I messaggi di phishing sono progettati per ingannare e spesso effettuano contraffazione di marchi, copiano landing page, riproducono layout, colori e design dei siti ufficiali dell’ente o dell'azienda che fingono di essere, tuttavia, non è difficile capire che si tratta di una truffa perché spesso il messaggio contiene errori grammaticali, errori di formattazione o sbagli nella traduzione da altre lingue.
Basta, quindi, osservare con prudenza, prima di procedere con qualunque azione della quale potremmo pentirci!
Fare attenzione anche al mittente (che potrebbe avere un nome dubbio) o al suo indirizzo di posta elettronica che potrebbe solo lontanamente richiamare quello vero del mittente che finge di essere.
Non fidarsi mai inoltre di messaggi che minacciano di chiudere conti se non si risponde tempestivamente al messaggio ricevuto.
Sin qui abbiamo sintetizzato i comportamenti da adottare, ma come difendersi dal pishing anche da un punto di vista tecnico?
Ebbene, da un punto di vista tecnico, per proteggersi dal pishing, è opportuno:
- installare e aggiornare sempre gli antivirus sia su pc destktop che su smarpthone e cellulari connessi alla rete Internet;
- utilizzare i filtri antispam;
- non memorizzare password o codici personali nel browser;
- impostare sempre password complesse con caratteri alfanumerici e speciali, cambiandole periodicamente;
- non utilizzare la stessa password per ogni servizio usato in rete;
- se si fanno acquisti online, è preferibile usare carte prepagate o altri sistemi di pagamento che consentono di evitare la condivisione di dati del conto bancario o della carta di credito;
- verificare spesso le movimentazioni bancarie e attivare gli alert automatici che informano quando qualcuno sta operando sui nostri account personali;
- nel caso in cui si ritenga di essere stati vittime di phishing, contattare tempestivamente l’istituto di credito, l’ente che gestisce la carta di credito o l’azienda fornitrice mediante altri canali più sicuri.
Seguire questi utili consigli e suggerimenti del Garante e soprattutto inserirli tra le best practice dei comportamenti da osservare in azienda nell'ambito del sistema di trattamento dei dati personali, può essere di vero supporto per evitare il rischio di furto dei dati personali e di informazioni aziendali riservate.
Considerando, infatti, che nella maggior parte dei casi, una violazione di dati personali e di informazioni riservate si verifica proprio a seguito di condotte errate e comportamenti inconsapevoli di chi opera all'interno dell'organizzazione, acquisire consapevolezza di quali azioni compiere e non compiere davanti a situazioni di dubbio pericolo, può davvero scongiurare il verificarsi di danni economici elevati e arginare questioni complicate da risolvere.