ATEDEcco come riconoscere le mail di phishing

Durante la pandemia di coronavirus, lo shopping online è in piena espansione come mai prima d’ora. E con il «Black Friday» e la stagione delle feste, i volumi dello shopping online raggiungeranno probabilmente nuovi picchi. Così come gli attacchi dei criminali informatici, che fiutano affari anche per loro. Usano le e-mail di phishing per cercare di estorcere denaro o dati del conto da destinatari ignari o per infettare computer e smartphone con malware. Attualmente circolano molte e-mail di phishing che fingono di provenire da un servizio di consegna pacchi; una truffa azzeccata in un momento in cui molte persone aspettano effettivamente dei pacchi.

Cascare in una e-mail di phishing nella sfera privata è piuttosto seccante ed è associato a disagi e possibilmente a perdite finanziarie. Ma negli affari c’è un’altra componente: i dati del conto rubati possono essere usati impropriamente per entrare in possesso di dati confidenziali. Oppure, le e-mail di phishing fungono da gateway per infettare un’azienda con malware come il ransomware.

Cosa sono le e-mail di phishing?

Il phishing, che deriva dalla parola inglese «fishing» ovvero «pesca», è una truffa usata dai criminali informatici. In un messaggio inviato via e-mail, SMS o telefono, si spacciano per un mittente fittizio, di solito una società nota, al fine di attirare i destinatari verso siti web fraudolenti o per indurli ad aprire un documento allegato con malware.

Per rendere il messaggio più efficace, i criminali informatici usano trucchi psicologici noti come social engineering: ostentano autorità (usando aziende conosciute come mittente), mettono i destinatari sotto pressione con scadenze strette o un’offerta che presumibilmente terminerà a breve, o li spaventano («agisci ora o il tuo account sarà cancellato»).

Il grado di elaborazione delle e-mail di phishing è variabile. Le e-mail in inglese con molti errori di ortografia, presumibilmente provenienti da una società svizzera, sono le più semplici da smascherare. Più difficili da riconoscere, invece, sono le e-mail che arrivano come risposta a una comunicazione esistente. I seguenti consigli vi aiuteranno a smascherare le e-mail di phishing e a contrastare le intenzioni dei criminali informatici.

Riconoscere le e-mail di phishing

Ecco i principali segni distintivi della posta fraudolenta.

• Indirizzo e-mail criptico: un frullato di lettere dell’alfabeto e un dominio (la parte che segue il simbolo @) che non coincidono con il millantato mittente sono un indizio inequivocabile. Ma attenzione: è semplice falsificare gli indirizzi del mittente. Così anche le mail di phishing possono recare un mittente assolutamente legittimo.
• Esortazione ad agire subito: se vi viene chiesto di attivare subito la carta di credito o di verificare una conferma di spedizione, si tratta forse solo di un raggiro psicologico di un pirata informatico: perché sotto stress l’uomo evidenzia una chiara tendenza a commettere più errori. Come, ad esempio, cliccare su un link di phishing.

In questa e-mail di phishing, i criminali informatici puntano sulla curiosità. Il link non porta ovviamente a Swisscom, ma a una falsa pagina di registrazione.

• Non siete affatto dei clienti: se ricevete una richiesta di pagamento da un istituto finanziario del quale non siete neanche lontanamente clienti, si tratta di una mail di phishing.
• Testo e link non coincidono: il testo della mail reca un indirizzo attendibile, ma il link corrispondente apre una pagina completamente diversa. È uno dei classici trucchi di cui i pirati informatici si servono. Trucchi che diventano sempre più sofisticati. Molti siti di phishing si nascondono dietro un indirizzo legittimo su un server hackerato. Oppure i truffatori usano un servizio di abbreviazione di URL come «t.ly», che reindirizza all’obiettivo reale. Un indirizzo come «https://t.ly/qualcosa» può essere un segno di un tentativo di frode, ma non necessariamente. Potete visualizzare la destinazione di un link in una mail muovendo il mouse sopra il link stesso, senza cliccarci su!
• Attenzione, un lucchetto nel browser non è automaticamente sinonimo di affidabilità: In passato, molte e-mail di phishing potevano essere riconosciute dal fatto che l’indirizzo iniziava con «http:» invece che con «https:». Il primo rimanda a una connessione non criptata e insicura, ed è anche segnalato come tale dagli attuali browser web. Al contrario, i browser mostrano un lucchetto a sinistra dell’indirizzo per le connessioni sicure (https:). Ma, nel frattempo, i criminali informatici si affidano anche a indirizzi sicuri per evitare di attirare l’attenzione.
• Errori di ortografia e linguaggio estremamente semplice: un cattivo italiano o inglese, o entrambi mescolati, e un linguaggio estremamente semplice sono indizi di una mail di phishing. Ciò non implica che, per contro, una e-mail scritta correttamente sia necessariamente attendibile.
• Appellativo impersonale: formule come «Hello», «andiheer» (la prima parte del mio indirizzo email) o nessun appellativo sono indizi di un’email di phishing. La ragione è che l’aggressore non conosce il vostro vero nome. Questo però vale solo per gli attacchi non mirati.
• Allegati sospetti: una fattura o una conferma di spedizione in formato word, oppure una candidatura spontanea in PDF: In questi casi la prudenza non è mai troppa. Specialmente se il nome del file è molto generico («facture.docx»). In caso di dubbio, contattate il (presunto) mittente. Ma non rispondendo alla mail. Bensì visitando la pagina web dell’azienda, dove potete cercare le informazioni di contatto.

In questo caso, il Centro nazionale per la cibersicurezza (NCSC) starebbe minacciando un’azione penale. In realtà, i criminali informatici hanno come obiettivo i dati personali e/o il denaro.

• Comunicazione di dati personali: il mittente vi chiede di rispondere indicando i vostri dati personali? Questa è già quasi una garanzia di posta fraudolenta, come nel classico esempio della fantomatica vincita al lotto. La vostra banca, il provider o altri fornitori di servizi online non vi chiedono mai la password. Anche queste richieste sono sintomatiche. Più difficile è quando venite diretti a una pagina di login. In caso di dubbio non cliccate sul link, bensì aprite il browser inserendovi l’indirizzo del (presunto) mittente.

Cosa fare con le mail di phishing?

Se avete smascherato una mail fraudolenta come tale, o quantomeno presumete che lo sia, potete inoltrarla a queste due sedi. In questo modo contribuite a ridurre il numero di mail di phishing nelle caselle di posta in arrivo:

• il provider dell’account della vostra mail: il relativo indirizzo reca spesso «abuse@» o «spam@» e il dominio dell’operatore, ad esempio spamreport@bluewin.ch.
• Indirizzo di registrazione del Centro nazionale per la cibersicurezza (NCSC) della Confederazione.

Se il computer aziendale o lo smartphone aziendale sono colpiti, segnalate immediatamente l’incidente alla persona interessata.

Se possibile, inoltrate la mail originale come allegato. In questo modo si conservano tutte le informazioni sul mittente originario. Successivamente eliminate la mail per evitare qualsiasi rischio di abboccare alla truffa.

Smishing – SMS fraudolento

Dietro il presunto link del messaggio c’è un malware per Android.

Nelle ultime settimane stanno circolando sempre più messaggi di smishing – SMS di phishing. Di solito puntano a un presunto messaggio vocale («Voicemail received»). Tuttavia, il link incluso non rimanda a un messaggio, ma scarica un malware per smartphone Android. Gli iPhone non sono interessati da questo attacco. L’indirizzo del mittente di questi messaggi varia ed è falso o proviene da uno smartphone contaminato.

Cancellate tali messaggi senza cliccare sul link.

Articolo a cura di Willy Grullon, Account Manager di Swisscom