Definizione

Nel 2007 scrivevo:

L'attività di inviare una email apparentemente con il mittente di una azienda (molto conosciuta su internet) per raccogliere dati relativi all'account.

Di solito si utilizza Ebay, Yahoo o anche poste italiane: il sito di appoggio viene creato al volo e dopo poco iniziata l'attivita' che inganna sul mittente e raccoglie informazioni: giuridicamente, una semplice truffa.

Molti utenti credono veramente che una azienda possa usare l'email per chiedere dati personali all'interessato, magari appoggiandosi ad un sito che confonde l'utente con un indirizzo simile.

Su un testo in php leggevo tempo fa che nel momento che si aspetta un dato da internet bisogna diffidare di tutto. Questo nella programmazione. Figurarsi nelle attivita' commerciali ...

Nel 2022 la tecnica si e' affinata, ma la sostituzione di persona e l'inganno restano.

Ad esso si e' aggiunto il vishing, cioe' l'impersonare altri a telefono, con la voce.

In entrambe il social engineering la fa da padrona: raccogliere dati sul web per avvalorare la richiesta con urgenza e autorevolezza.

Elementi caratteristici del phising:

• urgenza:
• indisponibilità del mittente per urgenza;
• minore scelta per l'urgenza;
• scadenza incipiente;
• riservatezza:
• è qualcosa che puoi fare tu, senza contattare altri
• autorevolezza, la richiesta viene da:
• un avvocato;
• un ente pubblico;
• una scadenza di legge;
• personalizzazione, il messaggio si riferisce:
• al tuo lavoro;
• a quello che ti interessa;
• a informazioni che conosci ma non racconti spesso;

Azione, viene chiesto di:

• cliccare su un link
• lasciare dati o credenziali di accesso
• disporre un bonifico (a iban o su pagina sbagliata)

Difesa: telefonare al mittente e controllare i dati del destinatario