Come riconoscere le email di Phishing e simili? Consideratelo il nostro regalo di Natale

12 Dicembre 2020
2528 Visualizzazioni

«Mi trovo in [inserire luogo qui] e ho perso tutto, per favore, mandami [inserire cifra in dollari qua] e appena tornerò a casa te li restituirò».

«Sappiamo che sei andato su “certi siti porno” e abbiamo le tue password! Se vuoi che nessuno venga a saperlo, dacci tutto quello che ti chiediamo!».

«Mi piaci, vorrei conoscerti ma non ho soldi per venire a trovarti, potresti prestarmi X mila dollari per raggiungerti?».

Sono pseudo-intro di email scam, che suppongo vi capiti di ricevere più o meno frequentemente, soprattutto se utilizzate un indirizzo di posta elettronica per qualunque operazione online.

A me capita di riceverne a bizzeffe su un account latrina che ho da almeno un decennio, mentre non ne ricevo affatto con quello che uso per scambi privati e lavorativi (oppure il filtro spam del provider è decisamente migliore!).

Siccome non tutte le persone hanno la stessa dimestichezza nel riconoscere un’email pericolosa da una che non lo è (soprattutto i boomer, ma non diciamolo ad alta voce, altrimenti ci restano male!), ho deciso di darvi qualche dritta per evitare che vi prosciughino il conto in banca: consideratelo il mio regalo di natale!

 

Come riconoscere le email di Phishing e simili

  • Phishing (email apparentemente recapitate da banche, servizi postali o enti, se non fosse per il provider che – se letto con attenzione – rivela la sua natura truffaldina, nelle quali viene richiesto di cliccare su un link o di fornire dati sensibili come il numero della carta di credito e/o i dati di accesso al conto corrente);
  • blackemail (email estorsive, tra le quali compaiono quelle di sextorsion, ossia ricatti sessuali, come nell’esempio sopra riportato relativo alle visite di siti porno);
  • romance scam (email caratterizzate da un approccio seduttivo).

 

Non è raro sentire parlare di Nigerian scam o 419 scam (dall’articolo numero 419 del Codice Penale nigeriano che punisce questo reato), in quanto il problema è particolarmente diffuso in Nigeria, dalla quale arriva gran parte di tali contenuti.

Di recente un mio amico è stato contattato via Instagram da una persona che con lui non ha nulla a che fare, che dice di vivere a Grenoble, in Francia, scrive in un italiano maccheronico e gli ha raccontato una storia strappalacrime. Lui, che è scaltro e informato, ha riconosciuto su alcuni siti francesi il copione solitamente utilizzato: una storia struggente che si conclude sempre con la domanda «Mi manderesti del denaro?».
Tipico caso di romance scam.

Un episodio che mi ha fatto sorridere per quanto è ridicolo è stato quello del rapper Nuke Bizzle che ha messo su YouTube il video della canzone “EDD” in cui narra le sue gesta da scammer. Peccato che lo abbiano arrestato per avere sottratto 1.2 milioni di dollari utilizzando identità rubate per chiedere sussidi di disoccupazione altrimenti destinati a persone lese dalla pandemia.

Facile preda di questi raggiri sono persone anziane (anche se la tendenza sta cambiando, segno che i predatori stanno puntando altre prede), magari vedove, e in generale quelle persone sole che hanno scarsa dimestichezza informatica e sono probabilmente più ingenue.

Vengono contattate tramite email o social network con fare gentile, ammaliante, instaurano anche rapporti epistolari che durano mesi, fino al fatidico momento in cui versano la somma pattuita, che servirebbe ai loro pretendenti per raggiungerle ma che invece scompaiono nel nulla. Maledetti rubacuori (e soprattutto rubasoldi)!

 

Eppure nell’occhio del mirino potrebbe finirci chiunque, se non prestasse attenzione

Per esempio qualche settimana fa il bersaglio sono stati gli utenti australiani di Netflix. Che hanno ricevuto un’email di phishing che sembrava inviata dalla piattaforma di streaming in cui veniva chiesto di aggiornare i propri dettagli di pagamento per ragioni legate alla fatturazione. Sono stati indotti a fornire dettagli finanziari personali, come per esempio il numero di carta di credito, che i criminali informatici avrebbero utilizzato per ulteriori acquisti.

Mentre recentemente in Ohio (USA) a finire nel mirino sono state le persone disoccupate. Che si sono trovate nella casella di posta elettronica una comunicazione che dal logo sembrava da parte dell’Ohio Job and Family Services (ODJFS), ma che in realtà era l’ennesimo tentativo di frode.

Le e-mail di phishing hanno tutte lo stesso obiettivo, ovvero convincere chi le riceve a concedere l’accesso a informazioni personali laddove un malware non potrebbe riuscirci.

 

Come tutelarsi

Dall’FBI alla Polizia Postale, si evidenzia il fatto che queste truffe siano in continua evoluzione e vengano perfezionate per essere individuate meno facilmente. Per esempio ha preso piede il vishing (voice + phishing), una tipologia di frode messa in atto tramite telefono.

A finire nel mirino degli scammer non sono solo privati cittadini ma anche aziende.

Ci sono alcune accortezze che possiamo adottare per evitare coinvolgimenti e, siccome il buon senso e la perspicacia talvolta non bastano, bisogna prestare la massima attenzione ai dettagli.

La forma è il primo campanello d’allarme

Spesso si tratta di traduzioni alla buona (per fare un esempio: la sedicente francese che chatta col mio amico, una sera gli ha scritto che stava guardando “Titanic”. Lui ha chiesto se si immedesimasse in Rose e per tutta risposta si è sentito dire: «Sì, mi piacciono molto le rose!»).

Altra particolare attenzione va data agli indirizzi di posta elettronica dai quali arrivano le comunicazioni o ai numeri di telefono, se si parla di phishing. Spesso sono simili al nome di istituti bancari o postali, salvo contenere lettere e/o numeri e avere domini differenti da quelli ufficiali (i siti istituzionali italiani sono .it mentre questi sono spesso .com).

Se prediligono il contatto telefonico, utilizzano numeri stranieri o pseudo-verdi.
Di recente la mia banca ha messo in allerta la clientela col seguente messaggio: “Da questo numero (quello verde del servizio clienti) non possiamo chiamarti ma solo ricevere le tue chiamate, per segnalarci operazioni e richieste sospette. Non ti chiederemo mai al telefono i tuoi dati personali, quindi non rispondere a questo numero e… avvisaci subito. Proteggi te stesso e il tuo conto!”

Nessuna istituzione seria chiede di comunicare via email dati personali, inclusi password e codici, queste richieste devono immediatamente mettere in allerta e dobbiamo cestinarle o segnalarle alla Polizia Postale.

Se ci vengono richieste immagini e informazioni riguardanti la nostra vita privata (indirizzi fisici o virtuali nostri o altrui, famiglia, lavoro, relazioni, ecc.), non dobbiamo fornire nulla per non esporci e non esporre altre persone.

Blindare i dispositivi

Sarebbe utile utilizzare alcuni accorgimenti per rafforzare la sicurezza dei device che usiamo di sovente:

  • proteggere i dispositivi (smartphone, computer, tablet e persino gli smartwatch) utilizzando un security software. Impostare l’aggiornamento automatico dello stesso in modo che possa affrontare eventuali nuove minacce.
  • Proteggere i propri account utilizzando l’autenticazione a più fattori. Alcuni offrono una sicurezza aggiuntiva richiedendo due o più credenziali per accedervi. Le credenziali aggiuntive necessarie per accedere all’account rientrano in tre categorie, ai sensi della Strong Customer Authentication:

qualcosa che hai, come un codice di accesso che ottieni tramite sms o un’app di autenticazione.

Qualche cosa che sei, come la scansione di una tua impronta digitale, della tua retina o del tuo viso.

Qualcosa che sai: (password, PIN ecc)

L’autenticazione a più fattori rende più difficile per i truffatori accedere agli account anche qualora ottenessero nome utente e password.

  • Eseguire il backup dei dati e assicurarsi che non siano collegati alla rete domestica. È possibile copiare i file su un disco rigido esterno o su un archivio cloud (ma anche questo secondo caso si presta a rischi, quindi è preferibile la prima opzione).

A onore del vero, va detto che hackerare uno smartphone potrebbe essere un’operazione non troppo complicata (per chi sa farlo, s’intende) per alcune ragioni come per esempio il fatto che si tratta di un sistema molto complesso, per cui è difficile avere idea di tutte le sue vulnerabilità; le app che scarichiamo per funzionare hanno bisogno di accedere a diverse informazioni, contenute nella memoria del telefono stesso, e alcune di esse possono contenere dei pezzi di malware. Queste sono alcune ipotetiche ragioni che mettono a rischio la sicurezza del nostro dispositivo.

Secondo la prima edizione del barometro “Cyber & Digital Protection” di Europ Assistance realizzato nel 2018, uno smartphone su due è a rischio informatico, ma è vero anche che «il 39% degli Italiani si dichiara vulnerabile al pericolo di attacco informatico e furto d’identità – a fronte di una media Europea del 30%». Sulla base di questo è possibile che nei prossimi anni a questo timore consegua una maggiore consapevolezza in termini di tutela e protezione dei dispositivi e quindi dei dati.

Leggi anche:

Exit mobile version