Il phishing è una delle principali minacce per la sicurezza delle caselle e-mail, ma recentemente sono state prese di mira anche le caselle PEC (Posta Elettronica Certificata).
Si tratta di una tecnica di frode informatica che viene utilizzata per indurre le vittime a fornire informazioni personali sensibili, come password e dati bancari, attraverso e-mail apparentemente legittime, spesso con mittenti autorevoli che sembrano arrivare da uffici pubblici (ad esempio dall’Agenzia delle entrate).
Le mail o PEC in questione contengono link che rimandano a siti fake che replicano, a volte anche in modo molto fedele, i siti istituzionali e, con un pretesto, chiedono di inserire le credenziali di accesso.
Il sito fake però comunica all’hacker le credenziali dell’utente danno così accesso a informazioni che possono essere utilizzate poi in modo fraudolento.
Il pericolo del phishing per le caselle PEC è reale, poiché queste ultime vengono spesso utilizzate per la gestione di aspetti importanti della vita professionale e personale, come la corrispondenza con il fisco, l’invio di documenti legali e la ricezione di fatture dal sistema di interscambio.
Se le informazioni contenute nella casella PEC vengono rubate da un malintenzionato, potrebbero dare accesso a informazioni riservate o violare l’account PEC stesso, per poi commettere frodi ai danni dell’utente.
Per proteggere la propria casella PEC dal phishing, è importante seguire alcune semplici regole:
– Non cliccare mai su link sospetti o scaricare allegati di provenienza sconosciuta, soprattutto se chiedono con qualsiasi scusa di fornire delle credenziali (utente e password). Se si ha un dubbio in merito contattare direttamente l’ufficio da cui proviene (o sembra provenire) la richiesta.
– Utilizzare password sicure e conservarle in modo accurato. Se possibile sarebbe opportuno cambiarle periodicamente.
– Non aprire allegati con estensioni sospette (.exe, .zip, etc.)
– Utilizzare un software di sicurezza e/o antivirus per proteggere il proprio computer e il proprio account PEC, tenerlo sempre aggiornato. Anche quello incorporato nel sistema operativo a volte è in grado di rilevare queste minacce, non deve essere disattivato.
– Essere attenti al contenuto delle PEC, spesso contengono errori grammaticali o ortografici o indirizzi e-mail sospetti.
– Non fornire mai informazioni personali o finanziarie sensibili in risposta a una e-mail o ad una PEC.
– Se si riceve una e-mail di phishing, è importante segnalarla alle autorità competenti (polizia postale) per contribuire a contrastare questa minaccia.
Per capire meglio di cosa si tratta, facciamo alcuni esempi pratici di phishing tratti da casi reali:
– Una e-mail di phishing che sembra arrivare dall’Agenzia delle Entrate contiene un link che porta a una pagina apparentemente legittima dove l’utente viene invitato a inserire le proprie credenziali di accesso. Se l’utente fornisce le proprie informazioni, l‘hacker può ottenere l’accesso al suo account ed utilizzarlo per commettere frodi.
– Una PEC che sembra arrivare dall’Agenzia delle Entrate, richiede il pagamento di una somma di denaro per evitare una multa o un’azione penale. Il testo può contenere un link che porta a una pagina dove l’utente viene invitato a inserire le proprie informazioni finanziarie. Le informazioni serviranno all’hacker che ha generato la PEC per entrare in possesso delle credenziali e commettere frodi.
– Una e-mail che sembra arrivare da un’azienda di e-commerce e richiede all’utente di cliccare su un link per verificare un ordine o per risolvere un problema con il suo account. Se l’utente clicca sul link, viene indirizzato ad una pagina che sembra legittima, ma che in realtà è stata creata da un truffatore per rubare le sue informazioni personali o per installare un malware sul suo computer.
A differenza delle mail, le PEC di phishing fanno leva sul fatto che la posta elettronica certificata ha valore legale, quindi l’utente ha giustamente più reticenza ad ignorare la richiesta.
Proprio per questo motivo, al minimo sospetto, è consigliabile contattare il fornitore o la propria banca per capire se la richiesta è stata effettivamente generata da loro oppure no. Prima di effettuare pagamenti o prima di inserire delle credenziali potete contattare il vostro commercialista, in particolare se si tratta di richieste fiscali o giuridiche.