Come evitare di cadere nelle truffe via email

L’infrastruttura che gestisce la posta elettronica in internet non è cambiata molto negli ultimi 30 anni. Sì, vi abbiamo sovrapposto alcune cose come la Sender Policy Framework (SPF) e la DomainKeys Identified Mail (DKIM), ma in fondo il protocollo rimane lo stesso. Questo è il problema. L’email è stata progettata in tempi più semplici. Tempi in cui internet era una risorsa affidabile e nessuno pensava due volte al fatto che è facile falsificare le intestazioni di un’email in modo che sembri che il tuo capo stia ricevendo un messaggio dal Presidente degli Stati Uniti che loda il tuo eccellente lavoro.

Quindi, se non ci si può fidare delle email, cosa possiamo fare? Innanzitutto, oggi la posta elettronica è molto più affidabile. È molto più facile rilevare le email inviate da qualcuno che finge di scrivere da parte del Presidente, grazie a cose come la Sender Policy Framework (SPF) e la DomainKeys Identified Mail (DKIM).

Anche con queste nuove tecnologie, tuttavia, le truffe via email sono ancora dilaganti. Fermiamoci un attimo e diamo un’occhiata ad alcune cose che puoi fare per assicurarti di non cadere nella truffa del momento (che non è l’invio di email ai tuoi capi…).

Truffe email di cui devi essere a conoscenza 

Diamo un’occhiata ad alcuni dei molti modi in cui gli hacker cercano di truffarti tramite l’utilizzo delle email. Questo primo gruppo di truffe rientra nella categoria delle truffe di phishing. Una truffa di phishing è fondamentalmente un’email progettata per ingannarti facendoti credere che provenga da qualcuno che non è, e convincerti a cliccare su un link incorporato nella mail.

La finta richiesta di ‘’Verifica dell’account’’

Queste email possono sembrare provenienti dalla tua banca, Netflix, Twitter o uno di quei siti su cui non ammetteresti mai di avere un account. Non importa da dove provengano, hanno tutti lo stesso messaggio di base.

“Il tuo account è stato bloccato per un motivo. Per sbloccare il tuo account prima che sia eliminato completamente, clicca su questo link.”

Ecco un suggerimento, nessun sistema affidabile là fuori invia queste email in modo casuale. Se ne ricevi una e al momento non stai interagendo con questa organizzazione, allora è quasi sicuramente una truffa di phishing.

In caso di dubbio, vai sull’account in questione dai canali ufficiali o tira fuori i documenti che hai per questa organizzazione, trova un numero di telefono e chiamali. Chiedi se c’è un problema con il tuo account. Se dicessero di no, ringraziali, augura loro una buona giornata, riattacca, contrassegna l’email come spam e vai avanti con la tua vita.

Le notifiche di “Errore di fatturazione”

Sapevi che è possibile che gli hacker scoprano cose su di te senza che tu glielo dica? È relativamente semplice scoprire dove è ospitato un sito web. Quando questi individui scoprono informazioni come questa, cercheranno di usarle per il loro guadagno a tuo discapito. Questo è il caso dell’avviso “Errore di fatturazione”.

Ad esempio, se sei un cliente SiteGround e ricevi un’email da SiteGround che ti informa che si è verificato un errore di fatturazione e ora devi pagare altri €XXXXX, fermati. Non cliccare su alcun link nell’email. Invece, vai alla pagina di supporto di SiteGround e avvia una sessione di chat con uno dei loro fantastici addetti al supporto. Possono dirti se c’è un problema con il tuo account o meno.

Ecco un esempio di email di phishing che richiede a un cliente SiteGround di aggiornare i propri dettagli di fatturazione per poter rinnovare il proprio dominio.

Fai caso al fatto che questa email contraffatta non contiene il nome del destinatario, mentre le email originali di SiteGround dovrebbero includere il nome che hai utilizzato per registrare il tuo account.

Nota poi se l’email contiene errori di grammatica e ortografia. Questi sono campanelli di allarme per una mail truffaldina, insieme alla formattazione errata.

Quando avrai confermato che in realtà non c’è un errore di fatturazione e che non dovrai vendere la tua auto per pagare il conto dell’hosting questo mese, ringrazia la gentile persona dell’assistenza, augurale una splendida giornata, disconnettiti, contrassegna l’email come spam e vai avanti con la tua vita.

La richiesta di ‘’Conferma dell’ordine’’ 

Un vecchio trucco ma buono – e che salta fuori molto in questi tempi in quanto l’uso dell’ecommerce è esploso – è l’email di “Conferma dell’ordine”. Queste email sono più efficaci quando provengono da aziende con cui non hai mai avuto a che fare. Di solito comportano anche ingenti somme di denaro. L’idea qui è di allarmarti così tanto che ovviamente farai click sul link per fare “Annulla conferma” dell’ordine.

Se l’email sembra provenire da un’azienda con cui non hai rapporti, ignorala. Contrassegna come spam e vai avanti con la tua vita.

Se sembra provenire da un’azienda con cui hai, o hai avuto, a che fare, contattala direttamente al di fuori dell’email. Parla con il reparto vendite o contabilità e vedi se qualcuno ha effettuato un ordine per conto tuo… Quando scopri che la risposta è no… beh, ormai sai come va la storia.

Casi reali di email di Phishing (beh, screenshot)

Che aspetto hanno le email di phishing fatte bene? Ecco alcuni esempi di vere email di phishing inviate ai clienti di SiteGround.

A parte tutti i campanelli di allarme già trattati sopra, l’indirizzo email “da” di queste mail non è un indirizzo SiteGround valido. Inoltre, una corretta email di SiteGround non menzionerebbe mai il metodo di pagamento da te utilizzato per pagare il servizio in questione.

Se sei un cliente SiteGround che viene a segnalare tali email, SiteGround ti chiederà di inviare l’intera email come allegato, poiché lo utilizzano per addestrare i propri sistemi a bloccare tali messaggi (nel caso in cui la tua email sia ospitata con SiteGround), in modo che non raggiungano la tua casella di posta. Nel caso in cui la tua email non sia ospitata con SiteGround, puoi contrassegnarla come spam nel tuo provider di posta elettronica.

Per ulteriori informazioni su come proteggersi dagli attacchi di phishing, consulta il post del blog su questo argomento.

Come restare al sicuro dalle truffe via email?

Quindi, come fare a sapere se si tratta di una truffa via email? Ebbene, la risposta più semplice è “attua pratiche sicure nell’utilizzo della posta elettronica”. Ecco alcune delle cose che faccio prima di cliccare su un link in una email, qualsiasi email.

1. Controlla l’indirizzo nel campo “da”.
   Ne abbiamo già parlato, ma molte email di phishing provengono da indirizzi email non plausibili. La maggior parte dei truffatori non si preoccupa di nasconderlo perché poche persone vi prestano attenzione. Un recente tentativo di phishing inviatomi proveniva presumibilmente da NetFlix. Tuttavia, l’indirizzo email era XXX@yahoo.jp. Sì, Yahoo ha un dominio giapponese ma non lo usa per inviare mail per NetFlix! Nemmeno ai clienti giapponesi.

   Una buona regola empirica è, se non ti aspettavi una mail da qualcuno, anche un familiare o un amico, considerarla sospetta finché non sai se proviene effettivamente da loro. Se non riconosci la persona da cui proviene, presumi automaticamente che sia truffaldina fino a quando non puoi dimostrare il contrario.

2. Controlla tutti i link prima di cliccarli.
   La maggior parte dei client di posta elettronica ormai ti consente di passare con il mouse su un link che dice “Clicca qui” (o altrove) e vedere qual è l’URL effettivo. Leggilo MOLTO ATTENTAMENTE. Presta attenzione al nome di dominio. https://goog.le non è uguale a https://google.com. Leggilo attentamente. Se sembra sospetto, non cliccarci su.

   Alcuni programmi di posta elettronica ti mostreranno il link in un pop-up quando ci clicchi su e chiederanno la verifica prima che il browser apra effettivamente quel link. Se il tuo programma di posta la offre, attiva questa funzione. Sì, aggiunge un ulteriore passaggio prima che tu possa vedere quella bella foto che ti ha inviato il tuo amico, ma ti consente di assicurarti di vedere effettivamente quella foto e di non installare malware sul tuo computer.

3. Non scaricare automaticamente gli allegati
   Il tuo programma di posta elettronica dovrebbe essere impostato per non scaricare automaticamente gli allegati. Ciò significa che se scarichi qualcosa da un’email, dovrai farlo di proposito. Se l’email non sembra corretta o non supera nessuno dei controlli di cui abbiamo discusso qui, non scaricare nulla. Anche cose come i documenti di Microsoft Word che sembrano innocui (clicca qui per vedere la fattura per il servizio che non hai ordinato) possono compiere azioni dannose se aperti. Se non ti aspettavi che qualcuno ti inviasse un allegato di posta elettronica, non aprirlo!
4. Leggi gli Header
   Ok, questo è per i nerd delle email, ma i più esperti possono scoprire molto leggendo le intestazioni che accompagnano ogni email. Al giorno d’oggi i programmi di posta elettronica nascondono le intestazioni ma sono lì se vuoi leggerle.
5. Ascolta il tuo istinto
   Mia moglie, un giorno ha ricevuto una mail dal prete del nostro paese con l’oggetto “Ti amo”. Erano buoni amici e sebbene l’oggetto della mail la confondesse, ha anche suscitato il suo interesse. L’ha aperta, solo per scoprire che c’era uno script dannoso allegato all’email. Ha cancellato circa la metà delle immagini che avevamo memorizzato sul nostro server di casa prima che potessi fermarlo. Per fortuna, avevo un backup, quindi non ci sono state perdite, a parte le ore necessarie per ripulire il casino. Se lo avesse semplicemente chiamato, o scritto una nuova email all’indirizzo che aveva nella sua lista dei contatti, oppure lo avesse contattato in una mezza dozzina di altri modi, avrebbe potuto scoprire che non proveniva da lui ma era un truffa. Invece di fidarsi del proprio istinto, ha aperto l’email.

Altre truffe di cui essere a conoscenza

L’email è di gran lunga il modo più semplice per gli hacker di indurre persone ignare a fare cose dannose. Tuttavia, ci sono un paio di altri modi.

Link a “siti imitatori” dannosi

Se ricevi un’email con un link a goog.le, è abbastanza facile individuarlo. Tuttavia, se stai facendo i tuoi acquisti su https://nomedidominiomoltolungo.com e lo scrivi male, potresti finire su un sito che assomiglia esattamente a quello che stavi cercando.

Gli hacker cercano errori di ortografia comuni per domini redditizi. Li comprano e mettono su dei siti d’imitazione. Questi sono siti che sembrano proprio quello che stavi cercando. Probabilmente hanno anche prodotti e un carrello. Tuttavia, non commettere errori, sono truffe. Quando inserisci le tue informazioni personali e il numero di carta di credito, non otterrai quegli accessori viola che hai ordinato e che tua sorella adorerà. Non avrai altro che una brutta sorpresa quando arriverà l’estratto conto della tua carta di credito.

Questo comportamento è davvero facile da combattere, se presti attenzione.

Innanzitutto, dopo essere arrivato in un sito, guarda la barra degli indirizzi. C’è un piccolo lucchetto accanto al nome di dominio?

Il piccolo lucchetto indica che il dominio che stai utilizzando ha un certificato sicuro e che è valido. Se non vedi il piccolo lucchetto o se c’è una linea che lo attraversa, significa che il certificato non esiste o che non è valido per quel dominio. Entrambe queste cose sono grandi campanelli di allarme, non fare acquisti su questo sito e non inserire nessuna delle tue informazioni personali.

Un certificato SSL non è sempre sufficiente per dimostrare di essere sul sito web giusto. I truffatori possono registrare sitegroound.com, ad esempio, e installare un certificato su di esso. Il certificato fornisce solo la crittografia nella maggior parte dei casi. È sempre una buona idea ricontrollare anche l’URL, soprattutto quando si effettuano pagamenti, si creano account, si compilano moduli, ecc.

Siti che impersonano landing page o pagine di login

L’ultimo tipo di truffa di cui parleremo sono le pagine di login false. Potresti arrivare a un sito solo per scoprire che prima di poter accedere alle cose che cerchi devi inserire le tue credenziali di accesso. Se si tratta di un eCommerce con cui normalmente fai acquisti o di una banca di cui sei cliente, fermati. Non fare nient’altro. Siti del genere non si limitano a creare una pagina di accesso senza che tutti lo sappiano con largo anticipo. Questi non sono altro che “raccoglitori di password”. 

Se inserisci le tue credenziali nel sito, non funzioneranno… perché è un falso. Ma gli umani sono testardi. Darai per scontato che hai digitato male qualcosa… specialmente se stai usando una password lunga e molto sicura. Quindi riproverai.

Se sei come la maggior parte di noi, quando non funziona la seconda volta, presumerai di aver usato la password sbagliata e proverai un’altra password, e un’altra, e forse anche una quinta prima di iniziare a pensare che qualcosa potrebbe essere sbagliato.

Ogni set di credenziali che hai inserito è entrato in un database e i malintenzionati inizieranno a usarle per provare ad accedere a qualsiasi sito su cui pensano tu possa avere un account. Dato che stavi dando loro credenziali di accesso reali, hai dato loro via le chiavi del tuo regno.

Fai attenzione, sii vigile, sii sospettoso al limite della paranoia. Assicurati, prima di inserire qualsiasi informazione in un sito web, di essere nel sito giusto. L’apparenza inganna.

Come navigare sul web in modo sicuro

1. Diffida sempre delle email sconosciute o inaspettate.
   Se non conosci la persona, o anche se la conosci ma non ti aspetti di avere sue notizie, sii sospettoso. Sì, la tua zia perduta da tempo potrebbe contattarti via email con un indirizzo hotmail.com per dirti che ti lascerà tutta la sua fortuna quando morirà e ha bisogno che tu firmi il testamento, ma è molto probabile che NON sia lei. Verifica prima di intraprendere qualsiasi azione.
2. Non fare click su un link in un’email fino a quando non sei assolutamente sicuro di sapere dove apre e cosa accadrà.
3. Non fornire le tue informazioni personali a nessun sito a meno che tu non sia assolutamente sicuro di essere sul sito che pensi che sia. Se non pensi di essere nel sito giusto, chiudi immediatamente il browser.
4. Quando possibile, utilizza una rete privata virtuale (VPN).
   Al giorno d’oggi quasi tutti i siti web utilizzano la crittografia per assicurarsi che non sia facile estrarre informazioni sulla navigazione, ma è ancora possibile per le persone con abbastanza tempo, denaro e determinazione. Quindi, quando possibile, utilizzo una VPN per crittografare ulteriormente il mio traffico.
5. Non utilizzare la stessa password su 2 siti web diversi.
   So quanto sia difficile. È difficile trovare una password sicura che puoi ricordare, per non parlare delle 20-30 necessarie per assicurarti che su ogni sito sia diversa. Per questo suggerisco di utilizzare un gestore di password. Così non importa dove ti trovi, le tue password saranno con te. Tutte le mie password sono lunghe, casuali e uniche. Se ne scopri una, non puoi entrare in nient’altro che in quell’unico servizio per cui la uso.

Per riepilogare

Cerca sempre di porre attenzione alla tua sicurezza quando sei sul web. Divertiti e goditi la vita ma se ricevi una mia email che dice che Bill Gates sta dando 1 Bitcoin a ogni persona che inoltra questa email … beh, hai capito.