Phishing: cos’è e come difendersi

Phishing: cos’è e come difendersi

Ultimamente, hai ricevuto anche tu messaggi più o meno minacciosi su Messenger?

Provengono da presunti “Meta information”, “Meta support”, “Facebook”, e insinuano che il tuo profilo abbia violato chissà quali leggi universali e che sarà presto chiuso. Unica salvezza: cliccare sul loro link apposito.

Questo è un classico schema di phishing: utenti più o meno svegli, ma sempre malevoli, puntano sulle tue insicurezze, in particolare sulla paura di perdere i tuoi account, per spingerti a compilare form o finti pannelli di accesso, e utilizzare nome utenti, password e altre informazioni per prendere il controllo del tuo account.

Con tutti i problemi che ne derivano: perdere il controllo di profili, pagine collegate e Business Manager, veder sfumare anni di lavoro su fan base fidelizzate e dare adito ad altre truffe.

Se stai pensando che a te non succederà mai, te lo auguro davvero, ma ti dico anche: assicurati di prendere tutte le precauzioni per proteggere i tuoi account, in particolare pagine e profili social.

Facciamo un recap generale dei requisiti indispensabili per un account sicuro e poi vediamo come è bene comportarsi in caso di messaggi allarmanti o sospetti.

4 regole fondamentali per difendersi dal phishing online

  1. Controlla sempre l’url e il mittente del messaggio prima di cliccare su un qualunque link: è una mail ufficiale? Puoi anche fare un breve controllo su Google – per capire se trovi documentazione ufficiale in merito – o su LinkedIn in caso di persone fisiche.
  2. Anche se l’url sembra reale, non è detto che sia sicuro: passa la freccetta del mouse sull’url e vedi qual è il suo percorso. Dove ti porta? In generale, sempre meglio non cliccare, e accedere direttamente alla piattaforma per controllare i messaggi in Impostazioni (vedi per esempio dove si leggono le comunicazioni ufficiali di Facebook)
  3. Anche se i controlli precedenti ti hanno convinto dell’onestà della richiesta, non inviare mai i tuoi dati sensibili (nome utente, password, codici, altre email o recapiti, numeri di carte di credito) via mail o via messaggio, e non inserirli nemmeno su siti o pagine di cui non riconosci l’autorevolezza (per esempio che riportino l’indicazione “Non sicuro” in alto a sinistra).
  4. Se sei in dubbio o hai paura di sbagliare, chiedi sempre spiegazioni all’assistenza della piattaforma di riferimento. Meglio fare un controllo in più e non ritrovarsi in situazioni molto spiacevoli.

Livello minimo di sicurezza per un account

Ci stiamo concentrando sugli account Meta, ma queste indicazioni possono valere per un qualsiasi account, dalla mail, all’e-commerce di Esselunga, allo stesso blog.

  1. Crea una password complessa.
    Direi minimo 8 caratteri, compresi di lettere maiuscole, lettere minuscole, un carattere speciale, tipo un punto interrogativo, e un numero. Alcuni siti ti propongono requisiti specifici, ma è buona norma includere tutti questi elementi ovunque e comunque.
  2. Fai sempre log out da tutti i dispositivi e browser che non usi abitualmente e/o non appartengono a te.
    Evita così di fornire indirettamente i tuoi accessi a chi entra in possesso di quei dispositivi.
  3. Se è disponibile, attiva l’autenticazione a due fattori con un app generatrice di codici come Google Authenticator.
    Facebook ce l’ha e conviene attivarla seguendo la guida apposita: https://www.facebook.com/help/148233965247823
  4. Evita di condividere password o altri dati sensibili via mail, via whatsapp o messaggio privato.
    Tutto ciò che è scritto rimane, e può essere facilmente inoltrato e condiviso.

Idealmente, dovresti anche cambiare ogni password ogni due mesi, ma capisco sia complicato: almeno salvati le password in un posto sicuro.

Come si presenta un messaggio di phishing e come riconoscerlo

Ormai sono sdoganati moltissimi modi più o meno fantasiosi per attirare la tua attenzione sulle proprietà Meta, ma vediamo i più frequenti ultimamente:

  • Tag in un post di Facebook e/o messaggio privato su Messenger.
    Per entrambi la risposta è semplice: Meta non ti contatta mai via chat o direttamente sulla tua bacheca per farti presente problemi o violazioni sull’account. Ti può trarre in inganno il fatto di vedere una notifica con il simbolo di Facebook, ma ignora sempre, e segnala il profilo e/o la pagina che ti ha scritto.
    Se Meta ha qualcosa da dirti, te lo scrive in Impostazioni e Privacy Impostazioni > Clicca su Protezione e accesso > Vedi le e-mail recenti da Facebook > Visualizza.
  • Commento sotto i post
    Supposti esperti e/o consulenti di Meta o altri social commentano proponendosi di aiutarti a recuperare account hackerati, con messaggi simili a: “Ciao, quando è stato violato? mandami un messaggio diretto così posso aiutarti a riavere il tuo account il prima possibile💯✅“.
    Nessuno sviluppatore di Meta ti contatterà via commento, è solo un modo per convincerti a fornirgli gli accessi. Segnala e blocca l’utente immediatamente.
  • Tag in una storia Instagram e/o messaggio privato in DM
    Disolito provano ad offrirti sconti, regali o ti propongono di partecipare a gruppi di scambio like. Anche questo è solo uno specchietto per le allodole che spera di ingolosirti: ignora e segnala a Instagram.
  • App malevole su App Store o Play Store
    Forse il metodo più infido: vengono create e pubblicate applicazioni simili ai Gestori di pagine o Business manager ufficiali di Meta, che sfruttano la somiglianza per far fare login con i propri dati.

    Fai sempre molta attenzione al tipo di applicazione che utilizzi:
    – controlla in particolare lo sviluppatore indicato (per Meta dev’essere Meta Platforms Inc.);
    – controlla il numero di recensioni e stelline che ha, se è falso probabilmente non ne ha o ne ha pochissime.

Chiedere aiuto in caso di phishing

Hai altri dubbi che vorresti chiarire o hai ricevuto qualche comunicazione che ti ha preoccupato?

Puoi chiedere sul nostro gruppo di assistenza e supporto Blog Starter ogni volta che vuoi.

In caso in cui i tuoi account siano stati effettivamente hackerati, rivolgiti sempre al protocollo ufficiale della singola piattaforma per il recupero degli account, è disponibile anche per Facebook e Instagram.

Contestualmente, puoi anche decidere di sporgere denuncia presso la Polizia Postale.