Per scoprire le password si punta sul conto alla rovescia: come individuare il phishing ed evitarlo

I cybercriminali stanno diventando sempre più abili nei loro attacchi, sfruttando non solo tecnologie innovative ma anche alcuni meccanismi psicologici che spingono le persone a compiere determinate azioni senza rifletterci troppo. Per esempio, molte attività di phishing prevedono l’utilizzo del conto alla rovescia, una tattica che spesso genera panico tra gli utenti che diventano così più propensi a cedere i propri dati.

Naturalmente è possibile proteggersi da questi attacchi utilizzando per esempio un gestore di password scaricabile dai vari store. Si tratta, nello specifico, di un’applicazione sicura e intuitiva che permette di organizzare tutte le proprie credenziali di accesso e i dati delle carte di credito in quella che può essere identificata come una cassaforte digitale. In questo modo non bisogna inserire credenziali e password di login dei singoli account poiché basta accedere al password manager. Vi è, però, la possibilità di scegliere tra un servizio 100% gratuito e una versione premium per avere maggiori funzionalità a disposizione.

Come funziona l’attacco phishing con il conto alla rovescia

Il phishing è un metodo ingannevole con cui i criminali informatici si spacciano per un’organizzazione legittima, per esempio una banca o un ente pubblico, con l’obiettivo di spingere le persone a rilevare informazioni sensibili come password e numeri della carta di credito. Ciò può avvenire in diversi modi, in genere utilizzando siti web che richiamano quelli istituzionali oppure inviando email e SMS fingendosi persone e istituzioni di cui generalmente ci si può fidare.

Per aumentare le chance di successo spesso gli attacchi phishing sfruttano la tattica della paura ricorrendo a un countdown che richiede da parte degli utenti una decisione rapida prima che questo termini. Generalmente utilizzando i canali già menzionati nel testo si segnala che il proprio account è stato compromesso e che è possibile evitare che venga eliminato inserendo nome utente e password ma solo entro pochi minuti: insomma, un’azione subdola che fa leva sulla pressione psicologica causata dal conto alla rovescia. Naturalmente il conto alla rovescia è falso: se anche il timer arrivasse a zero non succederebbe nulla e il proprio account non verrebbe infatti cancellato.

Questa strategia crea comunque tensione e un senso di urgenza che portano molti individui a cercare di risolvere rapidamente il problema: chi viene preso dal panico, così, immette le proprie credenziali e i propri dati che vengono sottratti dai cybercriminali e usati per azioni illecite.

I danni per la vittima possono essere ingenti, per esempio in caso di perdita delle chiavi di accesso al proprio conto bancario online oppure in caso di furto dei dati della carta di credito. A ciò si aggiunge la possibilità per i criminali informatici di rivendere le informazioni nel dark web oppure possono usare i dati per creare account falsi da impiegare per commettere reati più o meno gravi. In ogni caso, le conseguenze possono provocare danni economici, psicologici e sociali significativi.

Come riconoscere un attacco phishing con il countdown

Purtroppo identificare un attacco phishing sta diventando sempre più difficile, come dimostra l’aumento di truffe online realizzate attraverso lo “spoofing“. Si tratta di una tecnica sofisticata con cui gli hacker riescono a simulare l’identità telefonica di istituzioni autorevoli, inviando messaggi alle potenziali vittime attraverso cui le si invita a cliccare su link con una certa urgenza. Dopo il click si finisce su un sito fake, quindi una volta inserite le password e le coordinate bancarie queste informazioni finiscono nelle mani dei malintenzionati.

D’altronde, il maggiore utilizzo dei servizi digitali ha portato a un incremento delle frodi finanziarie online, le quali, secondo alcuni dati diffusi dalla Polizia Postale, sarebbero aumentate del 27% nel 2021, con migliaia di sottrazioni di password bancarie, credenziali d’accesso ai wallet di criptovalute e numeri delle carte di credito.

Nella maggior parte dei casi il punto debole sfruttato dagli hacker è il fattore umano, ossia la fiducia riposta dagli utenti in messaggi ed email che sembrano provenire da fonti attendibili, soprattutto quando vengono usate tecniche come il conto alla rovescia.

Per difendersi bisogna innanzitutto prestare sempre la massima attenzione, poiché banche, istituti finanziari e altre organizzazioni istituzionali non chiedono mai password e altri dati personali nelle comunicazioni con i clienti, perciò non vanno mai condivise le informazioni sensibili. Inoltre, è fondamentale verificare che il sito sia effettivamente quello originale, controllando l’URL della pagina web e delle piccole differenze che possono far scattare un campanello d’allarme. Bisogna anche stare attenti a SMS, email e messaggi in cui vengono richieste informazioni inusuali oppure che contengono errori di grammatica o parole non comuni che possono indicare la presenza di un contenuto fake.

Nonostante non esistano ancora soluzioni efficaci contro il phishing e lo spoofing, un gestore di password è senza dubbio uno strumento utile per tutelarsi da questo genere di azioni criminali informatiche, per garantire che tutti i propri account siano al sicuro in un vault cifrato protetto da sofisticati algoritmi di crittografia.