Il grande rilievo che sta assumendo il fenomeno rende opportuno spendere due parole sul cosiddetto "phishing", neologismo inglese assonante col verbo "to fish" (pescare), coniato per indicare un tipo particolare di pesca, che viene effettuata con una rete informatica e prevede la cattura dei suoi utenti. Stiamo parlando dell'ultimo ritrovato in materia di frodi informatiche, diretto a colpire carte di credito e conti correnti gestibili on-line. Molti lettori sapranno già di cosa si tratta, ma esiste un altro aspetto del fenomeno, che i più ignorano e che verrà qui approfondito.
Iniziamo ad analizzare il meccanismo di funzionamento del phishing. Il truffatore invia a migliaia di soggetti delle e-mail, facendole apparire come provenienti da società note e affidabili, mediante l'utilizzo di un indirizzo di provenienza che possa trarre in inganno. Così, se l'indirizzo di posta elettronica della Banca del Buoncredito (nome da me inventato per non essere accusato di pubblicità occulta) è buoncredito@banca.it, il messaggio arriverà ad esempio da buoncredito.web@banca.it. Il phisher avvisa poi i destinatari che è stato sventato un attacco informatico al sito della banca e, sostenendo la necessità di sottoporre a verifica gli account dei clienti, li invita a connettersi al sito stesso e a digitare i propri codici di accesso e password, onde garantire la prosecuzione del servizio. Il messaggio si chiude con un link, ingannevole come l'indirizzo e-mail, nel nostro caso, ad esempio: www.buoncredito.it/antifrode.html, piuttosto che www.buoncredito.it. L'utente che si connette, si trova in un sito graficamente identico a quello della banca. Se immette i dati richiesti, il gioco è fatto: il truffatore entra in possesso degli strumenti per visitare il vero sito della banca e svuotare il conto corrente del "pesce" di turno.
Un sistema analogo viene utilizzato per carpire i numeri di carta di credito degli utenti di siti ove si effettuano acquisti on-line. Stesso indirizzo e-mail somigliante, stesso avviso di sicurezza, link ad un sito quasi identico e richiesta di codici e password. Questo è l'aspetto più noto del phishing. Difendersi non richiede strumenti particolari, salvo un po' di attenzione e prudenza. I messaggi che richiedono informazioni riservate sono sempre truffaldini, ma se, dopo aver ricevuto una richiesta sospetta, qualcuno ha comunque un dubbio, è sufficiente una telefonata alla banca o una e-mail al sito di vendite on-line per accertarsi della situazione prima di compiere azioni deleterie.