La metafora della pesca viene usata spesso anche nel parlare comune quando si indica la condizione di cadere in un inganno, dallo scherzo più innocente fino alla truffa più complessa: diciamo “abboccare” o “essere presi all’amo”, e naturalmente nessuno di noi si immagina fisicamente nei panni di un pesce. Questa metafora è ovviamente universale quanto l’attività umana della pesca, di pesci intendo, pertanto è stato del tutto naturale utilizzarla, da parte degli anglofoni, nell’indicare anche una specifica forma di truffe informatiche, sebbene trasformando il fishing (pesca) in phishing, con un gioco di suoni facile in inglese (ma difficilmente riproducibile in altre lingue), per denotarne l’origine difforme dalla attività di pesca vera e propria. In italiano formule idonee che potessero avere medesimo significato laterale o gioco di suoni non erano possibili, pertanto abbiamo scelto di adottare il termine senza produrne una traduzione, e dunque il termine risulta sfuggente a chi non è pratico di lingua inglese.
Semplicemente, nel phishing i pesci siamo noi ed il mare è Internet: ecco il senso di tutta la metafora.
Il phishing è dunque una truffa, una truffa che, pur portata avanti attraverso strumenti informatici ed in particolare tramite la posta elettronica, ha sempre gli stessi caratteri necessari in una truffa. Il truffatore deve di dissimulare i suoi intenti, attirare la vittima e condizionarla ad agire in modo tale che la truffa abbia luogo, qualsiasi sia lo scopo finale. Il phisher (il truffatore, o meglio il “pescatore”, se continuiamo nella metafora) deve ingannare, pertanto il contenuto dei messaggi saranno coerenti con l’identità (es. filiale della banca, un ente previdenziale, ecc) impersonata dal truffatore per rendere credibile il dialogo con la vittima, ma soprattutto dovrà spingere la vittima ad agire, indicando una urgenza o una opportunità. Le azioni che la vittima deve compiere possono essere differenti secondo il progetto del phisher: possono andare dalla semplice apertura dell’allegato (che sarà un malware), al seguire collegamenti ipertestuali nel messaggio che portano verso siti altrettanto truffaldini e pericolosi. Spesso l’intento è di ottenere informazioni personali (di natura anagrafica, principalmente), e questo può essere richiesto in vari modi, ma ad oggi dovrebbe essere ben noto che nessun ente, organizzazione o azienda richiederà mai dati confidenziali attraverso questo canale. Ecco dunque il principio fondamentale per la nostra tutela da questo tipo “pesca”: diffidare. Naturalmente, vista l’enorme fantasia dei truffatori, è naturale che la diffidenza deve valere per qualsiasi componente nella comunicazione, dal mittente ai toni del messaggio, dall’oggetto del messaggio alla correttezza lessicale del messaggio, dalla presenza di allegati alla presenza di collegamenti ipertestuali.
Il phishing è solo uno dei nomi utilizzate per le truffe in campo informatico; sempre sul filo del gioco di parole (tra metafore e parole macedonia) abbiamo:
- spear phishing (pesca con la fiocina), ossia il phishing orientato ad una vittima ben nota al truffatore, capace quindi di costruire contro questo un inganno ben studiato
- whailing, ossia uno spear phishing orientato a “pesci grossi”, grossi dirigenti, facoltosi in genere, insomma vittime che potranno portare ad un grosso bottino
- vishing, una variante di phishing attraverso chiamate vocali (telefono)
- smishing, una variante di phishing attraverso messaggi testo (SMS)
Attenzione quindi, la minaccia può arrivare da più fronti.
