Blog

Oggi, raccontandoti due storie verissime, ti spiego cosa sono realmente le e-mail phishing e come fare a capire se dietro un messaggio di posta elettronica ricevuto, si nasconde una vera e propria truffa.

So bene che difendersi dalle e-mail phishing, non è sempre semplice. Lo sanno bene anche Matteo e Paolo (li chiameremo così), che purtroppo sono incappati in una di queste e l’hanno pagata a caro prezzo.

Inizio dalla fine: a Matteo è stato “rubato” il profilo Facebook e la casella e-mail. A Paolo è stato addirittura hackerato il Business Manager, facendo partire una campagna pubblicitaria da 20.000 euro al giorno.

Ma andiamo con ordine…

E-mail phishing: la storia di Matteo

Matteo è una persona distinta, molto cortese e sempre con il sorriso. Ricopre un ruolo importante nella società (forze dell’ordine), ha una moglie, due figli e vive una vita serenissima.

Un giorno, provando ad accendere al suo account Facebook, si rende conto di avere dei problemi: “password errata”. Decide di attendere qualche giorno: “sarà un problema di Facebook forse” – è la giustificazione che in qualche modo, dà a se stesso.

Quando dopo circa un mese mi contatta per un appuntamento, scopriamo la dura verità: non solo aveva perso il controllo del suo account Facebook, ma aveva contemporaneamente perso la possibilità di accedere anche alla sua casella mail, quella associata allo stesso.

A Matteo è stata cambiata sia la password di accesso alla casella mail, sia la password di accesso al suo account Facebook, bloccando quindi ogni possibilità di accedervi.

Ha ovviamente denunciato subito l’accaduto alle autorità competenti, cercando poi diversi modi per poter recuperare l’account.

Ma il punto non è questo.

Ricostruendo le azioni fatte da Matteo nei giorni precedenti, sembrerebbe che il problema sia stato innescato (probabilmente), proprio da un ingenuo clic su un link presente in una e-mail phishing.

Una e-mail, cioè, che apparentemente sembra provenire proprio dal social o da applicazioni di terze parti (con cui si è interagito nei periodi precedenti) e che è invece falsa, inviata ad-hoc per “rubarci” informazioni.

Consiglio immediato

Attiva sempre l’autenticazione a due fattori su tutti i tuoi account. Grazie all’utilizzo di questo accorgimento, ti verrà notificato ogni eventuale tentativo di “hackeraggio” dei tuoi account e sarai protetto dagli stessi.

Inoltre, scegli sempre password complesse e attiva ogni tipo di sicurezza che ti viene proposta e consigliata dalla piattaforma che utilizzi (inserisci, ad esempio, sempre una mail secondaria o numero di telefono per recuperare l’accesso al tuo account)

E-mail phishing: la storia di Paolo

Ancor peggio è andata a Paolo, noto imprenditore della sua città, che vive una vita serena con la moglie, lavorando nella sua attività commerciale.

Quando mi ha contattato, i problemi erano abbastanza complessi e seri. Era stato nominato editor di una pagina Facebook che lui neanche conosceva (ovviamente tutto a sua insaputa) e avevano tolto 200 euro dalla sua carta collegata al business manager, per campagne pubblicitarie attivate a sua insaputa.

E nei giorni successivi, avevano provato ad attivare una campagna da 20.000 euro al giorno (già… 20.000…)

Anche Paolo ha immediatamente denunciato il tutto alle autorità competenti, bloccato subito la carta associata al Business Manager, attivato l’autenticazione a due fattori (che prima non aveva) e, ovviamente, cambiato tutte le password dei principali servizi utilizzati.

E anche per Paolo come per Matteo, il tutto sembrerebbe essere stato innescato dal solito, ingenuo clic su una “falsa-e-mail” ricevuta: una reale truffa sfruttando una e-mail phishing.

Come riconoscere una e-mail phishing?

A Paolo e Matteo sarebbe bastato osservare bene quella mail in entrata, per comprendere che si trattava di una truffa e non di una reale comunicazione/informazione inviata dall’azienda.

Sono centinaia le campagne phishing che ogni giorno tentano di rubarci qualcosa e purtroppo, non esiste una sola regola da seguire per evitarle. Ho però raccolto una serie di utili accorgimenti, che possono “salvarti l’account” (stavo scrivendo la pelle, sono sincero, poi ho preferito renderla più “soft”…) ed evitare di diventare vittima di questo fenomeno.

• Osserva la grammatica del messaggio. Spesso, se la mail contiene un testo pieno di errori grammaticali e ortografici, al 99,9% è una e-mail phishing proviene da truffatori esteri che hanno tradotto con sistemi automatici (poco corretti)
• Guarda attentamente il link associato alla parola da cliccare. Solitamente i messaggi di phishing si spacciano per comunicazioni inviate dalle aziende o dalle istituzioni e chiedono di verificare o aggiornare password (o addirittura inserire dati sensibili).
  Spesso, quindi si trovano link da cliccare per effettuare questa operazione ma passando il mouse sopra, potresti scoprire che la parola linkata www.latuabanca.it indirizza invece a www.latruffaperfetta.it
• Analizza bene il dominio a cui dovresti collegarti cliccando. Fai attenzione ai domini di terzo livello inseriti nell’URL visualizzato. Se il nome della tua banca (o del servizio a cui ti viene richiesto l’accesso) è visualizzato, non vuol dire che quel link sia completamente affidabile e sicuro (come ad esempio, un URL di questo tipo: “login.latuabanca.web.ilsitopincopallo.com/accesso.php”)
• Scopri l’indirizzo mail del mittente. Non parlo del nome visualizzato ma proprio dell’indirizzo mail da cui viene inviato il messaggio: sotto la parola Tua Banca (nella casella DA:) potrebbe nascondersi ad esempio una mail tipo tuabanca@sitowebtruffa.it (che ovviamente non è la tua banca). Nella maggior parte dei casi ti basterà posizionare il mouse sul Mittente per scoprire il vero indirizzo mail da cui proviene quel messaggio.
• Occhio alle super offerte o alle promo troppo interessanti. Evita subito qualsiasi tipologia di offerta spaziale che richiede l’accesso tramite credenziali bancarie, postali o dei vari istituti per partecipare a concorsi ed estrazioni. Evita di cadere nella trappola del “hai vinto 100.000 euro, clicca qui per inserire i dati per poter inviarti il denaro”. Sono evidenti tentativi di rubarti informazioni.
• Ignora le richieste di denaro da sconosciuti. Si presenterà l’azienda “Tal dei Tali” che neanche conosci, che proverà a chiederti soldi per un “saldo e stralcio esplosivo” o l’hacker di turno che proverà a rubarti decine di centinaia di euro “perchè ha scoperto le tue password e promette di non divulgarle se lo paghi a dovere”. Ignora tutto, non cliccare nulla nella mail e cancellala!
• Non fornire informazioni personali. Ricorda che la banca, altri istituti di credito o aziende di servizi NON chiedono dati personali tramite mail. A meno che non si tratti di un tuo fornitore, amico, cliente, collega o capo (di cui conosci quindi mail o hai comunque certezza dell’interlocutore), NON fornire assolutamente dati personali tramite mail.
• Presta attenzione alle email di enti governativi o istituzioni. Per un certo tipo di comunicazioni, gli enti non usano le e-mail: il comune o l’agenzia delle entrare non chiedono soldi tramite un messaggio di posta elettronica (seppur vero che oggi si possano compiere diverse operazioni online e/o tramite mail). Presta molta attenzione se ricevi questi messaggi.

Conclusioni

In generale, il mio consiglio è quello di NON fare nessuna azione che non ti convince al 100%. Questo in generale, sia che si tratti di e-mail, di messaggi sms, ecc… Se noti delle “stranezze”, evita di cliccare e cancella subito il messaggio (sia che si tratti di lavoro o che si tratti di tempo libero).

Questa è la stessa cosa che accade con lo sneating… ma puoi evitare entrambe le situazioni, con un “po’ di furbizia”.

E se proprio sei incerto su una e-mail, se proprio vuoi verificare il mittente di quel messaggio… cerca il numero di telefono su internet e chiama direttamente l’azienda, l’ente o chi (presumibilmente) ti ha girato quella e-mail: se è tutto vero, saprà darti tutte le delucidazioni del caso.

Viceversa…. 😉

Alla prossima!
Antonio