Le email di phishing potrebbero sembrare provenienti da un’azienda che conoscete o di cui vi fidate: una banca, una società di carte di credito, un social network, un sito web o un app di pagamenti online o un negozio online.
Tecniche di phishing: tipi di email
L’obiettivo di un attacco di phishing è quello di accedere alle informazioni personali della vittima. L’attacco può essere avviato tramite un’email in cui la vittima viene indotta con l’inganno a condividere informazioni personali o a cliccare su un link o un collegamento per il download che installa un malware sul dispositivo. Le email di phishing possono
- affermare di aver notato alcune attività o tentativi di accesso sospetti;
- sostenere che si è verificato un problema con l’account o le informazioni di pagamento;
- richiedere la conferma di alcuni vostri dati personali;
- creare una sensazione di urgenza;
- comunicarvi che avete vinto un premio in una lotteria;
- avvisarvi della consegna di un pacco (di cui potreste essere a conoscenza o meno);
- includere una fattura falsa;
- invitarvi a cliccare su un link per effettuare un pagamento;
- sostenere che avete diritto a registrarvi per ottenere un rimborso dallo Stato;
- offrire un buono per ricevere merce gratuita.
I segnali di un’email di phishing: come riconoscere una truffa
In alcuni casi le email di phishing sono facili da individuare, perché niente sembra quadrare:
- Presentano incongruenze negli indirizzi email e nei nomi di dominio
- Richiedono dati personali
- Usano forme di saluto generiche
- Contengono errori ortografici e grammaticali
- Sono formattate male
- Minacciano di intraprendere azioni legali o di chiudere l’account
- Includono allegati o link sospetti che non avete richiesto
In caso di dubbio, contattate il mittente attraverso un mezzo di comunicazione alternativo e verificate che l’email sia legittima.
Come riconoscere le email di phishing (esempi inclusi)
In qualche altro caso, le truffe di phishing sono nascoste in email create con furbizia, ma non impeccabili. Facciamo un esempio concreto. Ecco cosa ho trovato nella mia posta in arrivo. Riconoscete qualche segnale di una truffa? Dovrei preoccuparmi di cadere vittima di un attacco di hacking? Vediamolo insieme.
Anche se a prima vista questa email potrebbe sembrare reale, non lo è. I truffatori che inviano email come questa non hanno niente a che fare con le aziende che fingono di essere. Le email di phishing possono avere conseguenze reali per le persone che forniscono informazioni ai truffatori. Vediamo cosa non quadra in questo tipo di email.
L’email non contiene alcun tipo di saluto, nemmeno un generico “Salve”. Nella maggior parte dei casi, se si ha un account con l’azienda, nell’email verrebbe usato un saluto personalizzato.
CONSIGLI: le email di PayPal si rivolgono a voi sempre con il vostro nome e cognome o la vostra ragione sociale, e non usano mai espressioni come “Caro utente” o “Ciao membro PayPal”, come ho appreso in seguito da questo articolo del blog di PayPal.
Il logo di PayPal è utilizzato nella parte superiore del messaggio, lo stile è professionale e la richiesta è credibile. Ma per quanto tenti di replicare un’email autentica di PayPal, c’è un enorme segnale d’allarme: l’indirizzo del mittente è “8s05otnqjzgeyoo-7cbac0jyijho1hb@clmgymre-11971527.laowkdushw”.
CONSIGLI: un’email autentica di PayPal avrebbe il nome dell’organizzazione nel nome di dominio, a indicare che è stata inviata da un dipendente di (@) PayPal. Il fatto che PayPal non compaia nel nome del dominio è la prova che si tratta di una truffa.
Molte email truffa nascondono l’indirizzo di destinazione in un pulsante, così non è immediatamente chiaro dove porti il link. Per evitare di cadere in trappole del genere, imparate a controllare dove portano i link prima di aprirli.
CONSIGLI: su un computer, posizionate il mouse sul collegamento e l’indirizzo di destinazione verrà visualizzato in una piccola barra lungo il lato inferiore sinistro del browser. Su un dispositivo mobile, tenete premuto il link e apparirà un pop-up contenente il collegamento. Se l’email sembra provenire da PayPal, ma il dominio del link non include “paypal.com”, questa è una prova inconfondibile. Se i nomi dei domini non corrispondono, non cliccate.
Consigli per evitare gli attacchi di phishing
Per prima cosa, imparate a riconoscere gli attacchi di phishing e familiarizzate con il loro linguaggio. Se un’email richiede informazioni personali utilizzando formule di saluto generiche, presenta errori di ortografia, una formattazione scadente o include minacce di azioni legali o chiusure di account, potrebbe trattarsi di un attacco di phishing.
Se sospettate di aver ricevuto un’email di phishing o di trovarvi su un sito web che non è quello che sembra, è il momento di fare un po’ di indagini. Innanzitutto, controllate l’indirizzo email e non il nome che vi appare nella posta in arrivo. Inoltre, fate attenzione ogni volta che ricevete un’email da un sito con richieste di informazioni personali.
Riparare i danni causati dal phishing può essere frustrante e dispendioso in termini di tempo e denaro. Seguire alcune regole di sicurezza di base è molto più semplice. Se ricevete un’email sospetta come una di quelle riportate sopra:
- Non cliccate su nessun link e non scaricate allegati di email sospette. Aprite invece il browser e andate sul sito web digitandolo nella barra degli indirizzi.
- Non fornite informazioni personali finché non avete verificato che l’email è reale. (Nota:nessuna azienda rispettabile vi chiederà mai informazioni personali, come la vostra password, tramite email.)
- Utilizzate sempre siti web sicuri (HTTPS) e controllate i certificati digitali.
- Monitorate regolarmente i conti corrente e gli estratti conto e segnalate immediatamente qualsiasi attività sospetta.
- Denunciate le email sospette agli istituti di vigilanza e alle autorità locali.
- Inviate i messaggi sospetti ad Avira all’indirizzo virus@avira.com.
Infine, fatevi aiutare dalla tecnologia a prevenire gli attacchi di phishing. Adottate soluzioni antivirus e firewall e mantenetele aggiornate. Avira offre un prodotto di sicurezza che vi protegge da ransomware, spyware, hacker e attacchi di phishing. E soprattutto: Avira Free Security si scarica e si implementa gratis. Se vi capita spesso di individuare attacchi di phishing o semplicemente volete aggiungere un ulteriore livello di protezione al vostro dispositivo, è un’ottima opzione da prendere in considerazione.