Se hai cliccato su un link di phishing e hai fornito informazioni personali, dati di pagamento o documenti, devi subito correre al riparo. Innanzitutto: non c'è ragione di vergognarsi. Questi attacchi informatici diventano sempre più frequenti e ben fatti.
Non nascondere la cosa ai tuoi famigliari e ai tuoi amici, perché non hai ragione di farlo. Anzi, se non denunci subito e avvisi i tuoi cari, potresti subire maggiori danni tu ed esporre a dei rischi anche loro. Se i tuoi dati sono stati compromessi, infatti, potrebbero essere usati per trarre in inganno amici e parenti: immagina un criminale che invia messaggi dalla tua casella di posta, in cui chiede denaro per un'emergenza.
Il tempismo, quindi, è molto importante. I criminali informatici, infatti, utilizzano solo alcuni dati immediatamente. Molti altri sono venduti nel mercato nero online, a volte a distanza di tempo. In altre parole: non tutto è perduto, potresti ancora essere in tempo per rimediare.
Cosa fare se hai cliccato un'email di phishing
Ecco le cose da fare il prima possibile dopo avere aperto un'email di phishing e cliccato sul link:
- Cambia tutte le password;
- Blocca le carte di pagamento;
- Contatta la tua banca;
- Presenta denuncia alle autorità.
Cambia le password
Se hai inserito in un sito fraudolento il tuo username e la tua password in un sito copia (ad esempio, un portale che si fingeva Amazon) prova a entrare nel tuo account sul vero sito e a reimpostare subito la password.
Molte persone utilizzano la stessa password, o password molti simili, per più siti e portali: è opportuno cambiare tutte queste password per evitare rischi inutili.
Certo, è una bella rottura, ma se un malintenzionato ti rubasse la chiave della porta di casa, sicuramente cambieresti la serratura. È la stessa cosa, online.
Se puoi attivare l'autenticazione a due fattori, fallo. Introdurre un secondo livello di sicurezza ti complicherà l'esistenza ogni volta che devi accedere alla casella di posta o ai servizi bancari, ma ti protegge in caso di problemi di sicurezza.
Blocca la carta di credito
Hai inserito i codici della tua carta di pagamento in un sito copia o fraudolento? La prima cosa da fare è bloccare la carta il prima possibile, per impedire che venga utilizzata da altri.
Le società che emettono carte di credito forniscono un numero telefonico gratuito che puoi chiamare se smarrisci la carta o te la rubano. Funzionano anche per bloccare la carta di pagamento che ti è stata rubata su internet.
Per bloccare una carta Nexi (ex CartaSI) chiama dall’Italia il numero verde 800 151616, se ti trovi all’estero il numero +39 02 34980020, se sei negli USA puoi chiamare il numero verde 1 800 473 6896.
Puoi bloccare una carta American Express chiamando il servizio clienti 06 72900347. AmEx ti invierà una nuova carta.
Per bloccare una carta Intesa Sanpaolo puoi chiamare il numero verde 800 303 303 dall’Italia e da numero fisso, oppure da cellulare e dall’estero il numero +39 02 87109001. È possibile bloccare una carta smarrita o rubata anche dalla app di Intesa Sanpaolo (ovviamente solo per i clienti della Banca).
Contatta la tua banca e le aziende
Se hai inserito i dati del tuo conto corrente in qualche sito copia, ti conviene informare la tua banca. Puoi chiamare il servizio clienti e poi prenotare un appuntamento in filiale per verificare che sia tutto ok.
Se hai ricevuto una finta email o una finta telefonata da un'azienda di cui sei cliente, può essere utile segnalare loro la cosa. Magari ignoreranno il tuo messaggio, magari stanno già indagando su qualche irregolarità interna e aiuterai a individuare eventuali complici o problemi di sicurezza all'interno dell'azienda.
Denuncia
È fondamentale presentare denuncia alle Autorità. Ti servirà anche per tutelare te stesso nel caso in cui i dati che ti sono stati rubati vengano utilizzati dalla criminalità.
Se sono stati sottratti tuoi dati personali lavorativi, come la password che usi nell'azienda per cui lavori, devi segnalare la cosa anche al tuo datore di lavoro, soprattutto a chi si occupa della tecnologia e della sicurezza informatica. Provvederanno loro a cambiare le tue password per prevenire attacchi.
Le tipologie degli attacchi di phishing
Le email fraudolente che vengono inviate ogni giorno seguono dei “modelli” comuni. Sì, hai capito bene, esistono dei veri e propri schemi di attacco e conoscerli può essere utile per non farsi trarre in inganno.
Phishing classico via posta. Ricevi una email generica che contiene un link a un sito web falso, dove ti viene chiesto di inserire i tuoi dati, oppure il numero della carta di credito o cose del genere.
Spear phishing. Si tratta sempre di una email, ma in questo caso è pensata e scritta proprio per te. I criminali hanno raccolto delle informazioni sul tuo conto per scrivere un messaggio ancora più sofisticato per trarti in inganno.
Whaling, conosciuto anche come “truffa dell’amministratore delegato”. Sono messaggi inviati ai vertici di un’azienda o ad altre persone in posizioni di potere, in genere parlano di un’emergenza per confondere la vittima a fare qualcosa, come inviare denaro o rilevare informazioni utili.
Vishing, cioè voice phishing. In questo caso la vittima riceve una telefonata in cui qualcuno si presenta a nome di una banca o di altre organizzazioni fidate. In un attacco così mirato è probabile che il criminale abbia scoperto qualcosa su di te per sembrare più credibile.
Smishing, cioè sms phishing. L’attacco in questo caso passa da un messaggio di testo, o un Whatsapp, per fare arrivare un link che porta a un sito web finto, in cui viene richiesto di inserire dei dati.
TOAD, acronimo di Telephone-oriented attack delivery. Questi attacchi usano le telefonate per ingannarti e rivelare dati sensibili: qualcuno si finge una persona o un’azienda e trasmette un senso di emergenza alla vittima, per trasmetterle agitazione e trarla in inganno.
