Ancora oggi molti internauti cadono vittime di phishing o altre truffe simili. Come tutti ormai dovrebbero sapere, il phishing è la truffa con la quale un malintenzionato riesce a convincere la vittima a fornire informazioni personali (per esempio numeri di carta di credito, password ecc.) che poi permettono di derubare il malcapitato.
Di forme di phishing ne nascono sempre di nuove, molto più convincenti delle precedenti; di solito restano attive diversi mesi, spesso anni. Per esempio, questa nata nel 2018 miete ancora vittime: “Complimenti! Sei uno dei 100 utenti che abbiamo selezionato per una possibilità di vincere un iPhone X, un Samsung Galaxy S9 o un iPad Pro”.
La truffa prosegue con un sondaggio, fatto bene, realistico, alla fine del quale si dice all’utente che può acquistare un costoso smartphone per un prezzo irrisorio, facendo subito l’ordine online. La vittima cade nel tranello e fornisce i dati della sua carta di credito.
Il phishing di solito può utilizzare virus o debolezze del sistema operativo o del computer che riceve il messaggio. Molto raramente il responsabile è il sito che si stava visitando sia perché ormai la stragrande maggioranza di siti non usa pubblicità estremamente invasive (a volte il messaggio di phishing impedisce la prosecuzione della navigazione se non si risponde alle domande) sia perché molti di essi hanno efficaci mezzi antintrusione.
Una forma diversa di azione illecita in Internet è anche il vero e proprio ricatto. Per esempio, il ricattatore invia migliaia di mail dicendo che ha avuto accesso alla webcam della vittima e l’ha ripresa mentre visitava siti porno o eseguiva atti sessuali, minacciando di fare avere i filmati a tutti i contatti della sua rubrica ecc. Ovviamente, su 1.000 mail inviate ci saranno quelli che si riconosceranno nella descrizione offerta dal truffatore e, per evitare la vergogna della pubblicazione in Rete, saranno disposti a pagare (per esempio in bitcoin) anche somme ingenti.
A prescindere dalle modalità con cui la truffa agisce, se non si abbocca subito, c’è un modo molto semplice di scoprire se un messaggio “puzza”. Le truffe lavorano per quantità, non inviano mai messaggi personalizzati: anche messaggi che contengono nickname o indirizzi di posta hanno un corpo del messaggio standard. Basta considerare questa parte standard. Prendiamo l’esempio di inizio articolo. È sufficiente andare su Google e digitare fra apici “complimenti! Sei uno dei 100 utenti che abbiamo selezionato“. Se non si trova nulla (perché per esempio ora 100 è stato cambiato in 200), basta essere più generici e cercare “ complimenti! Sei uno dei”. Insomma, dopo pochi secondi in uno dei tanti siti antitruffa si scoprono le modalità della truffa e quindi anche la falsità del messaggio.