Se possiedi un indirizzo di posta elettronica ti sarà capitato di ricevere email di phishing, ma come fai a riconoscere le truffe e non farti fregare?
Ormai i fornitori come Google o Microsoft sono sempre più esperti nel classificare le email e spesso finiscono nella cartella SPAM prima che possano fregare qualche utente, ma altre volte non vengono bloccate e potrebbero trarre in inganno anche i più esperti.
Capita sempre più spesso che le persone (anche le meno ingenue, se stavi pensando a questo) vengano prese di mira dai criminali informatici tramite email progettate per sembrare indirizzate da una banca legittima, un’agenzia statale o da una delle tante aziende in cui siamo registrati per fare acquisti online.
In queste comunicazioni, gli hacker chiedono agli sfortunati destinatari di cliccare su un collegamento che li porta a una pagina in cui viene chiesto loro di confermare i dati personali, le informazioni di pagamento, ecc.
Le conseguenze più comuni sono la perdita dell’accesso all’account e l’azzeramento del conto corrente.
È sempre più difficile distinguere il vero dal falso, così abbiamo deciso di fare un elenco delle variabili di cui tener conto quando si giudica l’autenticità di una comunicazione via posta elettronica.
Cos’è il phishing?
Il phishing è una tecnica con cui gli hacker ti convincono a fornire le tue informazioni personali o i dati di pagamento. Una volta ottenute le informazioni, le utilizzano a tua insaputa, svuotano il tuo conto, ti rubano i dati sensibili.
La storia delle e-mail di phising
Le prime email di phishing erano molto creative, ricordiamo quella che iniziava con “Saluti dal figlio del Principe di Nigeria.”
Negli ultimi tempi le persone hanno imparato che non c’è nessun principe che ti contatta via email e i truffatori stanno diventando sempre più esperti nel riprodurre fedelmente le grafiche e i testi delle compagnie da cui siamo abituati a ricevere i messaggi.
È sempre più difficile distinguere un’email falsa da una autentica. Ma la maggior parte non è perfetta e si può ancora distinguere.
Vediamo 8 variabili da tenere in considerazione:
1. Nelle mail autentiche le società non chiedono le tue informazioni sensibili
Quando ricevi una comunicazione non richiesta tramite posta elettronica da un’azienda o da un ente pubblico, dove il mittente fornisce un collegamento o un allegato e ti chiede di fornire informazioni sensibili, molto probabilmente si tratta di una truffa.
È raro che un’azienda o un’autorità chieda la tua password, il tuo numero di carta, il tuo codice fiscale o altri dati sensibili.
2. I mittenti autentici di solito conoscono il tuo nome
Le email fraudolente in genere iniziano con “Gentile utente”, “Gentile titolare dell’account” o “Gentile cliente”. Se un’azienda ha la necessità di avere le tue informazioni, quasi sicuramente ti chiamerà per nome e ti chiederà di aggiornare le tue informazioni direttamente sul tuo account.
3. Le società legittime usano il proprio dominio
Siamo quasi sempre distratti dal contenuto della comunicazione e perdiamo di vista l’indirizzo del mittente. A volte quest’ultimo è creato ad arte e ci trae in inganno. Controlla il dominio dell’indirizzo email.
Assicurati che corrisponda esattamente alla società o ente interessato. L’indirizzo corretto con dominio amazon.it sarà per esempio customer@amazon.it. Un indirizzo customer@amazon21.it non apparterrà all’azienda di Jeff Bezos e sarà probabilmente opera di qualche malintenzionato.
Questo accorgimento non è sempre infallibile in quanto alcune aziende utilizzano più domini. In ogni caso ricorda di essere diffidente rispetto ai domini con un nome che appare ambiguo.
4. Le email autentiche sono scritte in italiano corretto
Una comunicazione scritta in un italiano confuso appare di sicuro preoccupante. Il modo più immediato per riconoscere una truffa è infatti la grammatica.
5. Le aziende non ti obbligano a visitare pagine specifiche del loro sito web
Spesso, all’interno delle email di phishing sono inseriti dei link ipertestuali che rimandano a pagine web create appositamente dai truffatori per scaricare SPAM sul pc o sullo smartphone.
6. Le società non inviano allegati non richiesti
Se hai richiesto l’invio di una mail non devi preoccuparti. Una comunicazione non richiesta invece dovrebbe farti venire dei dubbi soprattutto se contiene degli allegati.
È molto difficile che le istituzioni ti inviino casualmente email con allegati. Proprio per una questione di sicurezza ti invitano a scaricare i materiali attraverso il proprio sito web.
7. Link aziendali modificati
Abbiamo già parlato di dominio. Lo stesso discorso è valido anche per i link contenuti nel testo della mail. Spesso puoi trovare dei link all’interno della comunicazione che corrispondono ad un link diverso una volta cliccato. Meglio controllare sempre gli indirizzi passando con il cursore passa sopra il collegamento e assicurandosi che gli indirizzi siano identici.
Negli ultimi anni inoltre è in uso il protocollo sicuro https: assicurati che gli indirizzi iniziano con questa dicitura (esempio: https://www.flyip.it/).
Se l’URL di un collegamento ipertestuale non sembra sicuro non fidarti.
8. Senso di urgenza
L’ultimo ma non ultimo modo di riconoscere le email di phishing è notare il senso di urgenza imposto dal mittente. Gli hacker infatti usano questa leva psicologica per costringerti ad agire subito (seguendo ciò che viene scritto dentro l’email). Presi dal senso di urgenza, gli utenti compiono azioni senza rifletterci troppo. Grosso errore.
Riconoscere le email di phishing: Il sistema di sicurezza più potente sei tu
Puoi anche avere l’antispam più potente al mondo. È sufficiente un’ingenuità per finire nel mirino dei malintenzionati.
Le conseguenze peggiori possono avvenire in azienda, dove è possibile compromettere l’integrità dei dati e la sicurezza. È sufficiente un dipendente non consapevole per mettere nei guai un’intera infrastruttura IT.
Assicurati che tu e i tuoi dipendenti abbiate piena consapevolezza dei meccanismi per identificare e neutralizzare ogni possibile minaccia alla sicurezza in caso di phishing.
Se vuoi saperne di più sulla sicurezza in azienda, contattaci.