Domanda
Cos'è il phishing?

Risposta
Da quando il denaro ha iniziato a muoversi lungo Internet e in particolare lungo il web, per i truffatori si è formato un prolifico bacino d'azione. La maggior parte degli utenti di Internet lo utilizza per effettuare transazioni di denaro tramite PayPal, Poste.it, eBay, siti specifici di home banking e altro ancora, e la sicurezza diviene allora una priorità, soprattutto nelle comunicazioni tramite e-mail.
Proprio questo è infatti il phishing: inviare e-mail spacciandosi per la propria banca, per Poste.it o PayPal chiedendo di inserire i dati con cui ci si è iscritti al servizio, nello specifico nome utente e password, in pagine appositamente create dall'aspetto del tutto identico a quelle originali, che, invece di portare al servizio desiderato non fa altro memorizzarli per utilizzarli in seguito (o anche immediatamente) per prelevare somme di denaro.

Domanda
Come si può verificare di trovarsi realmente sul sito che si intende visitare?

Risposta
Per difendersi dal phishing la parola d'ordine è diffidare: se si ricevono e-mail in cui viene notificato l'accredito di denaro in maniera inattesa, o viene comunicato che, per ipotetici motivi di sicurezza, è necessario comunicare nome utente e password bisogna subito insospettirsi.
La prima regola è: mai seguire link riportati all'interno della mail, se possibile, ma accedere direttamente dal proprio browser digitando l'indirizzo o utilizzando il segnalibro salvato nei preferiti, per avere così la sicurezza di non ritrovarsi involontariamente su siti contraffatti ma graficamente del tutto identici a quelli che intendiamo visualizzare. Se c'è una comunicazione davvero urgente sarà certamente ben in evidenza non appena si accede.
La seconda regola è: verificare manualmente di trovarsi sul sito in questione e non su uno simile. Per fare questo bisogna prestare attenzione a quanto scritto nella barra dell'indirizzo del browser e, in particolare, al dominio. Nella barra dell'indirizzo troviamo delle stringhe di testo, dette URL, dalle quali possiamo ricavare il dominio del sito corrente, compreso tra la sigla "http://" e uno slash.
Il dominio di Poste Italiane è poste.it, di PayPal è paypal.com e della vostra banca potrebbe ad esempio essere miabanca.it. Per conoscere il dominio della propria banca, o comunque di uno specifico servizio basta effettuare una ricerca su Google, ad esempio cercando Mia Banca, apparirà come primo risultato il sito ufficiale e Google evidenzierà tra i risultati il nome del dominio in grassetto, come in figura.
Ad esempio in

http://www.poste.it/privati/

Il dominio è www.poste.it ed appartiene pertanto a poste.it e si tratterà quindi con grande probabilità di un sito affidabilit. Prendiamo invece ora come esempio l'URL di una query di Google:

http://www.google.com/search?q=arcadiaclub.com

Il dominio è www.google.com, ed appartiene pertanto a google.com. Tuttavia, se avessimo un URL del tipo:

http://www.google.com.altro.com/search?q=arcadiaclub.com

Il dominio sarebbe www.google.com.altro.com, la cui parte più importante è altro.com, e quindi non ci troviamo su Google ma su altro.com. Questa è una tecnica spesso usata nel phishing: bisogna sempre prestare attenzione a come finisce un dominio, come inizia non ha importanza in quanto è un dato che può essere impostato arbitrariamente. E così pure bisogna prestare attenzione che il dominio sia scritto correttamente:

http://www.paipal.com/

È certamente un URL contraffatto e di cui bisogna pertanto diffidare.

Domanda
Esistono metodi più sicuri per stabilire l'attendibilità di un sito?

Risposta
Sebbene verificare accuratamente di trovarsi su un sito il cui dominio corrisponde a quello che ci aspettiamo sia molto importante, per avere la quasi totale certezza di non trovarci su un sito contraffatto è utile verificare di star utilizzando una connessione sicura per effettuare il login. Con connessione sicura si intende una connessione che utilizza il protocollo HTTPS (invece che semplicemente HTTP), il quale ha due vantaggi principali: permette di essere quasi certi di star comunicando con un sito non contraffatto e di essere quasi certi che le informazioni scambiate non sono state lette e/o modificate da nessuno. Tutto questo grazie a tecniche di crittografia asimmetrica avanzata, che non sono però oggetto di discussione.
Nei browser più moderni, nella barra dell'indirizzo, accanto all'URL quando si sta visitando un sito sicuro appare un sigillo a forma di lucchetto o colorato, cliccando sul quale si possono avere ulteriori dettagli sull'identità del sito su cui ci si trova. Se questo sigillo è presente ci si può fidare e digitare nome utente e password senza problemi, se invece il browser notifica che la connessione sicura presenta dei problemi (certificato invalido) non digitare per alcuna ragione le proprie credenziali in quanto, sebbene in buona parte dei casi si tratta di un problema tecnico, c'è una forte possibilità che si tratti di un sito contraffatto che sta tentando di impossessarsi delle credenziali dell'utente.
Si badi che alcuni siti, ad esempio Poste.it, talvolta non passano ad una connessione sicura (e quindi non mostrano il sigillo) fino a quando non si preme sul pulsante di login, questo in genere non è un problema, a patto che durante il login non vengano mostrati errori di certificati invalidi. È comunque sempre bene verificare preliminarmente il dominio.
Se si ritiene di essere vittima di un sito contraffatto, come prima cosa tentare di accedere al proprio account (ammesso che sia ancora possibile, ovvero ammesso che la password non sia già stata cambiata) e cambiare la propria password in modo da impedire al malintenzionato di accedere nuovamente, quindi contattare immediatamente chi offre il servizio per notificare l'accaduto.