loader image
E-mail Phishing: attenzione alla posta elettronica sospetta

E-mail Phishing: attenzione alla posta elettronica sospetta

Come riconoscere le e-mail di Phishing?

Quando si apre la casella di posta elettronica a volte può capitare di trovare alcune e-mail apparentemente “normali” ma con alcuni dettagli che dovrebbero destare sospetto, come ad esempio:

  • errori marchiani di ortografia;
  • problemi di formattazione del testo;
  • link incomprensibili;
  • utilizzo di espressioni volte a generare pressione nell’utente o tese a formulare minacce (come ad esempio: “Sbrigati è l’ultimo giorno utile per accedere al tuo sconto”; “Il pagamento deve essere fatto entro le 24:00 di oggi”);
  • indirizzo e-mail del mittente non riconducibile all’estensore della mail;
  • promesse o regali insperati che conducono l’utente a cliccare su un link.

Queste e-mail riproducono sempre più fedelmente la grafia e il contenuto delle comunicazioni inviate da Agenzia delle Entrate oppure della propria banca, o ancora da Poste Italiane o Enel.

Eppure nei dettagli si nasconde una vera e propria possibile frode informatica: il cosiddetto Phishing.

Se gli utenti fanno clic su un link in un’e-mail di Phishing (ad esempio: “Clicca qui per vincere il premio”), il link può ricondurre ad altri siti web allo scopo di attivare malware o altri virus malevoli nei propri computer o device.

 

Quali dati rubano le e-mail Phishing?

Tale tecnica è utilizzata da soggetti criminali chiamati Phisher e cercano di ottenere informazioni e dati personali del destinatario dell’e-mail, come ad esempio:

  • nome, cognome e documento d’identità;
  • le credenziali della Carta di Credito o del conto corrente;
  • Username e Password per accedere all’Home Banking;
  • accessi ad archivi contenenti informazioni lavorative segrete o riservate.

Tutto questo – spacciandosi per il reale titolare dei dati e senza destare alcun sospetto – al fine di riutilizzarli nei più svariati modi:

  • concludere contratti per conto della vittima;
  • effettuare pagamenti;
  • trasferire denaro;
  • oppure rubare informazioni fondamentali e riservate sul piano lavorativo.

 

E-mail Phishing posta elettronica sospetta

Cosa fare quando si è vittima di Phishing?

Quando ci si accorge di essere stati vittima di Phishing (come ad esempio si registrano movimenti sospetti o inusuali sul proprio conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), il primo passo è quello di denunciare tempestivamente l’accaduto alle Autorità (compreso il Garante Privacy se la vittima è una azienda e vi è stata una violazione di dati personali di clienti o fornitori).

È inoltre possibile, in particolari casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standard di sicurezza da parte dell’istituto di credito, richiedere il ristoro integrale delle somme alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitro Bancario Finanziario).

Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.

 

Come prevenire i casi di e-mail Phishing?

Ai privati possiamo raccomandare di seguire i consigli dell’articolo e di prendersi del tempo per leggere bene le mail, soprattutto quando ci viene chiesta una azione, come cliccare un link o rilasciare dei dati.

Per le aziende, invece, la parola fondamentale è una sola: Formazione.

I dipendenti devono essere in grado di riconoscere una e-mail Phishing grazie a delle sessioni apposite di sicurezza informatica, perché – come avrete intuito – il fattore umano è decisivo per sventare una frode di questo genere.

Una pratica diffusa è quella di generare false e-mail di Phishing spedite dal datore di lavoro o dall’esperto di cybersecurity (come ad esempio: amministratore di sistema o CISO), per valutare l’effettiva reazione dei dipendenti e, all’esito, capire se è necessaria una ulteriore formazione.

Sul punto, una delle più importanti realtà del settore – il NIST – ha istituito un programma apposito, chiamato Phish Scale, con campagne di Phishing sempre più complesse per testare il personale aziendale.

Per un affiancamento o una pianificazione dettagliata di una sessione di formazione in ambito Phishing e, più in generale, nell’ambito della sicurezza informatica, lo Studio Legale offre piena assistenza avendo i propri professionisti maturato una solida esperienza come formatori aziendali. Puoi contattarci per avere maggiori informazioni sul tema.

PRIVACY: dopo quanto tempo anche i giornali devono dimenticarci?

PRIVACY: dopo quanto tempo anche i giornali devono dimenticarci?

Quando la riproposizione di una notizia datata deve svolgersi in forma anonima? L’interesse alla conoscenza di un fatto implica sempre la sussistenza di un analogo interesse a conoscere l’identità della singola persona che quel fatto ha compiuto?

Con recentissima pronuncia 22 luglio 2019, n. 19681, le Sezioni Unite hanno affermato che “in tema di rapporti tra il diritto alla riservatezza (nella sua particolare connotazione del c.d. diritto all’oblio) e il diritto alla rievocazione storica di fatti e vicende concernenti eventi del passato, il giudice di merito – ferma restando la libertà della scelta editoriale in ordine a tale rievocazione, che è espressione della libertà di stampa e di informazione protetta e garantita dall’art. 21 Cost. – ha il compito di valutare l’interesse pubblico, concreto ed attuale alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti. Tale menzione deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito; in caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva”.

Pertanto, la ripubblicazione di notizie (ma anche la loro conservazione su database accessibili online), a distanza di tempo ed originariamente oggetto di cronaca, deve considerarsi attività di rievocazione storica, non già esercizio di un diritto di cronaca. Tale attività può prevalere sul diritto dell’interessato a non essere più associato a quei fatti solo nel caso in cui la notizia rivesta interesse pubblico, in una forma tuttavia più intensa rispetto a quella necessaria al tempo della prima pubblicazione. In caso contrario la riproposizione della notizia dovrà svolgersi in forma anonima. Infatti, l’interesse alla conoscenza di un fatto non necessariamente implica la sussistenza di un analogo interesse alla conoscenza dell’identità della singola persona che quel fatto ha compiuto.

Nel caso in cui la notizia sia divulgata on-line, oltre al risarcimento del danno nei confronti della testata giornalistica e alla cancellazione dei dati, l’interessato potrà ottenere la condanna del gestore del motore di ricerca a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, i link verso pagine web pubblicate da terzi e contenenti informazioni relative a detta persona; ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.