Phishing: Perchè si chiama così e non in altri modi?

Non dimentichiamo che le innovazioni tecnologiche sono sempre una lama a doppio taglio. Mentre noi ci godiamo la comodità di fare acquisti online o trasferire denaro con un clic, dall’altra parte della rete ci sono criminali informatici, astuti e ingegnosi, che hanno affinato le loro tecniche per truffarci.

Uno degli stratagemmi più comuni è il phishing, un termine inglese che richiama l’immagine della pesca: i truffatori gettano “l’amo” sotto forma di e-mail o siti web che imitano alla perfezione quelli delle nostre banche o dei social network che usiamo quotidianamente. L’obiettivo è farci abboccare. I criminali studiano attentamente il comportamento delle loro vittime, proprio come un pescatore osserva il fiume, aspettando il momento giusto per lanciare l’esca. Questi messaggi falsi sembrano reali, utilizzano loghi e grafiche identiche a quelle originali, e spesso ci chiedono di inserire dati personali, con la scusa di un problema di sicurezza o di un aggiornamento dell’account. E chi di noi, trovandosi di fronte a un presunto messaggio urgente della propria banca, non si allarma?

Il termine phishing, una parola che, come spesso accade nel mondo dell’informatica, ha origini piuttosto curiose. Siamo a metà degli anni ’90, un periodo in cui Internet inizia a diffondersi su scala globale, portando con sé i primi tentativi di sfruttare le debolezze umane per rubare informazioni personali. Ma com’è nato il termine phishing? È il 1996 circa, e siamo su alt.2600, un forum molto frequentato dalla comunità hacker dell’epoca, dove si discute di tutto: dai sistemi di sicurezza ai metodi per aggirarli. Ed è proprio in questo contesto che il termine phishing comincia a circolare.

All’epoca, la truffa su Internet aveva una piattaforma di riferimento: AOL, America Online, uno dei principali fornitori di servizi di accesso alla rete. I truffatori si fingevano dipendenti di AOL e, con la scusa di risolvere problemi tecnici, convincevano gli utenti ignari a fornire le proprie credenziali di accesso. Username, password—tutti dati preziosissimi! È proprio qui che vediamo il principio fondamentale del phishing: ingannare le persone per sottrarre informazioni sensibili.

Ma perché si chiama proprio phishing?

Beh, qui ci viene in aiuto una metafora molto chiara: pensate al pescatore. Cosa fa? Lancia un’esca, sperando che un pesce abbocchi. Allo stesso modo, i truffatori di Internet lanciano la loro esca sotto forma di e-mail o siti web ingannevoli, sperando che qualcuno abbocchi, consegnando informazioni personali, bancarie, di accesso ai propri account. È un paragone semplice, diretto, e molto efficace. Ma, direte voi, non potevano chiamarlo fishing? In teoria sì, ma qui entra in gioco un elemento culturale. Negli anni ’90 era diffuso, soprattutto tra gli hacker, sostituire la ‘f’ con ‘ph’ per dare un tocco più sofisticato e tecnico alle parole. Era un po’ una moda dell’epoca, insomma. Così, il termine phishing nasce con questo stile un po’ alternativo, un po’ da comunità hacker.”

I tipi di phishing

Non tutti i tentativi di phishing sono uguali. Come spesso accade nella storia, anche i criminali affinano le loro tecniche, adattandosi alle circostanze.

• Spear phishing: Si tratta di attacchi mirati, spesso rivolti a individui o aziende specifiche. Il criminale non lancia l’esca a caso, ma colpisce con precisione chirurgica, dopo aver studiato accuratamente la sua vittima.
• Whaling: Qui l’obiettivo sono i “pesci grossi”, cioè i dirigenti di alto livello, quelli che possono avere accesso a informazioni sensibili e denaro in abbondanza.
• Smishing: Il phishing via SMS. I criminali non si limitano all’e-mail, ma sfruttano anche i nostri telefoni, inviandoci messaggi che sembrano provenire dalla banca o da altri servizi affidabili.
• Vishing: Infine, il phishing telefonico. Anche qui, i truffatori cercano di ottenere le nostre informazioni fingendo di essere operatori bancari o di altre istituzioni.

Poteva essere chiamato diversamente?

Certo! Si poteva parlare di email fraud o furto di identità online, termini sicuramente corretti, ma molto meno evocativi. Oppure si poteva scegliere un termine come baiting, da bait, esca, o luring, da lure, attirare. Ma questi termini, per quanto precisi, non avevano lo stesso impatto. Il termine phishing è diventato popolare proprio perché la sua somiglianza con fishing è immediatamente comprensibile anche a chi non è esperto di sicurezza informatica. È una parola che racconta una storia in sé: quella del pescatore e del pesce, del truffatore e della vittima.

Ecco quindi che phishing è riuscito a radicarsi nel linguaggio comune grazie alla sua semplicità metaforica, capace di parlare sia al mondo degli hacker che a quello degli utenti comuni. Come spesso accade con i termini tecnici, quelli che attecchiscono davvero sono quelli che riescono a raccontare qualcosa di immediato e intuitivo. E in questo caso, phishing ha funzionato proprio perché ci fa immaginare subito l’inganno: un’esca, un pesce e qualcuno che cade nella trappola.

Cosa fare se si cade vittima di phishing

Se per sfortuna si dovesse cadere vittima di una truffa di phishing, , la cosa più importante è reagire subito e mettere in atto una serie di misure difensive.

1. Monitorare attentamente le proprie attività finanziarie e creditizie: Controllare i movimenti dei nostri conti bancari, e verificare che non ci siano transazioni sospette. In caso di anomalie, è fondamentale segnalarle immediatamente.
2. Cambiare immediatamente le password degli account compromessi: Se i truffatori sono riusciti ad accedere ai nostri account, la prima cosa da fare è cambiare tutte le password
3. Contattare la propria banca o gli istituti finanziari interessati: Dobbiamo immediatamente avvisare la nostra banca o qualsiasi altro istituto finanziario coinvolto, in modo che possano bloccare l’accesso ai nostri conti e prevenire ulteriori danni.
4. Segnalare l’incidente alle autorità competenti: E’ importante, segnalare l’accaduto alle autorità competenti, come la polizia postale, che può avviare le indagini e, in alcuni casi, recuperare le informazioni sottratte o impedire che la truffa si diffonda ulteriormente.

Ciao, sono Davide l’autore di questo articolo, se hai trovato degli errori in questo racconto puoi segnalarli nei commenti qui sotto o inviare una e-mail a monetadiplastica@gmail.com .