A prima vista sembrerebbe incredibile: più di nove persone su dieci, addirittura il 97%, non distinguono in tutti i casi una email “genuina” da un tentativo di phishing. Questo ci dice Intel Security, come risultato di un sondaggio (il “Phishing Quiz”) a cui sono stati sottoposti 19mila utenti di 144 Paesi. Il dato, in realtà, va letto un po’ diversamente: fra costoro, soltanto il 3% ha saputo identificare correttamente tutti e dieci i messaggi di phishing contenuti nell’elenco da valutare.
Considerando chi abbia riconosciuto almeno parzialmente le email truffaldine, la percentuale effettivamente sale, ma non di molto. Un abbondantissimo 80% rientra nella categoria degli ingenui o sprovveduti, dal momento che otto partecipanti al quiz su dieci non hanno identificato nemmeno un tentativo di phishing. Tanto basta (nella vita reale, fuori dai quiz) per cadere vittima di un attacco che potrebbe causare seri danni economici e di reputazione.
Sebbene in molti casi ancora pieno zeppo di “segnali sospetti”, dagli errori grammaticali alle promesse improbabili, il phishing è un fenomeno che include anche tentativi di raggiro più sofisticati, a volte (specie nel caso degli attacchi indirizzati alle aziende) frutto di pianificazione e costruiti a misura di singola vittima. E questo spiega, almeno in parte, il risultato del sondaggio di Intel.
Ci sono poi le variabili culturali, anagrafiche, geografiche, che possono incidere in positivo o in negativo sul grado di scaltrezza dell’utente. Tra i Paesi coinvolti nel quiz, i più capaci di sfuggire ai tranelli del phishing sono risultati – nell’ordine – Francia, Svezia, Ungheria, Paesi Bassi e Spagna, mentre gli Stati Uniti si sono piazzati soltanto al ventottesimo posto.
La possibilità di un errore di valutazione è anche in senso inverso: può capire che un’email del tutto genuina nelle intenzioni venga scambiata per un tentativo di infezione malware o di furto di dati. Nel quiz confezionato da Intel, infatti, il messaggio di posta più spesso erroneamente identificato come phishing era in realtà una innocua email che suggeriva al destinatario di “richiedere i propri annunci gratuiti”. Spesso, sottolinea Intel, si associano offerte a premi gratuiti con il phishing o con lo spam e probabilmente è stato questo il motivo per cui un gran numero di persone ha alzato i muri del sospetto.
Come fare per proteggersi, buon senso a parte? Il primo consiglio è quello di mantenere il software di sicurezza e il browser sempre aggiornati. È anche utile, prima di cliccare eventualmente su un link, passare con il mouse sopra il collegamento per verificare (in base al nome) che conduca verso un sito coerente con la promessa contenuta nel messaggio. Conviene, inoltre, perdere qualche decina di secondi per scorrere velocemente il testo e l’oggetto dell’email, alla ricerca di errori grammaticali, Url o immagini sospette. Altro accorgimento è quello di aspettare a cliccare su un link, visitando invece il sito Internet dell’azienda od organizzazione, presunto mittente, per trovare conferma o smentita delle offerte pubblicizzate nell’email.