Innazitutto cos’è il phishing?
Spieghiamo in cosa consiste questa tecnica utilizzando la definizione offerta da Google:
“Truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico.”
Detto in parole semplici, il criminale invia una mail che imita quanto più possibile la comunicazione ufficiale di un ente o una azienda esistente, (nella speranza che il destinatario abbia dei servizi con esso) in modo da indurre in errore la vittima designata.
Generalmente questo tipo di e-mail contiene un avviso preoccupante su problemi che si sarebbero verificati, (il conto sta per essere bloccato, stai perdendo delle e-mail, ti pignorano il comò, ecc…), con l’invito a compiere una determinata azione risolutiva che impedirà al problema di generare i danni paventati e che tipicamente consiste nel cliccare su un link che aprirà una pagina dove inserire le proprie credenziali di accesso, (generalmente login e password).
Se inserite questi dati il criminale prenderà il controllo del vostro c/c o assumerà la vostra identità con cui ingannare gli altri. Non meno pericoloso e spesso sottovalutato è il furto dei dati di accesso alla propria e-mail. L’e-mail è un servizio molto pericoloso perchè il recupero delle password di accesso all’area riservata dei siti web dimenticate (cosa che succede spessissimo purtroppo), avviene tramite l’email.
Il criminale una volta avuti i dati di accesso alla vostra mail può accedere ad un determinato sito a cui siete iscritti e chiedere il recupero della password, (oppure creare un account proprio da utilizzare spacciandosi per voi), leggere la mail di risposta del server che chiede conferma e poi cancellarla al fine di non farvi insospettire.
Oggi sempre più istituti di credito e siti utilizzano gli sms per rendere più complicata la vita dei criminali proprio a causa del notevole successo ottenuto dai criminali con queste tecniche.
Vorrei tranquillizzare i lettori, un po’ tutti possono cadere nel tranello, un momento di distrazione, una mail ben costruita, un sapiente uso della psicologia ecc. Un momento di debolezza può capitare a tutti ed è per questo che bisogna obbligarsi ad una serie di azioni standard da seguire a prescindere per minimizzare il rischio di cadere in queste trappole.
Vediamo un esempio di phishing
L’immagine mostra una mail con un tentativo di phishing, in questo caso il criminale ha usato nel testo il dominio del destinatario (la parte che ho oscurato) e questo lo ha reso ai suoi occhi credibile e la paura di perdere mail importanti ha spinto il destinatario ad agire in fretta, ma cosa avrebbe dovuto controllare?
Per prima cosa concentriamoci sul link e diciamo subito che si compone di due parti, la prima è quella visibile e serve al lettore per capire dove porta quel collegamento e la seconda è invisibile e indica al server quale risorsa internet si desidera. Per esempio, la parte visibile potrebbe essere Costiera amalfitana e la parte invisibile https://www.costadiamalfi. it .
Costiera amalfitana
Come vedete ciò che appare è il nome della località ma cliccando si va sulla pagina web della costiera.
Capita talvolta che si usi indicare nella parte visibile del link l’URL (indirizzo web) che si andrà a visitare
https://www.costadiamalfi.it
Come vedete in questo caso parte visibile e parte nascosta sono identiche.
Supponiamo ora di ricevere una mail apparentemente dell’inps che ci informa di problemi ad una nostra pratica e ci invita a clikkare sul link la cui parte visibile è https://www.inps.it/tua-pratica ma la parte nascosta è http://pippoplutoepaperino.ru/motifrego
In questo caso la parte visibile indica un sito credibile e conosciuto mentre la parte nascosta (quella vera) punta ad un sito molto poco credibile.
La domanda che dobbiamo porci è: che interesse avrebbe un ente legittimo quale l’inps a mostrare al pubblico un indirizzo web e poi far effettivamente visionare una pagina con un indirizzo totalmente diverso?
Generalmente nessuno.
Altra domanda che dobbiamo porci: se il sito ufficiale dell’Inps è all’indirizzo https://www.inps.it che interesse avrebbe l’ente a farvi accedere alla pagina http://pippoplutoepaperino.ru/motifrego ?
Come si fa a vedere la parte nascosta di un link? Basta mettere il puntatore del mouse sopra al link e guardare in basso a sinistra, comparirà l’indirizzo vero. Un altro modo è mettere il puntatore del mouse sopra il link e cliccare con il tasto desto del mouse, dal menu che compare bisogna scegliere “copia indirizzo link” e poi aprire un programma per gestire i testi (ad esempio word) e fare incolla, una volta reso visibile il vero collegamento confrontarlo con la sua parte visibile
Se nelle mail legittime una cosa del genere da parte di un ente sarebbe da biasimare, nelle e-mail truffaldine succede spesso proprio perchè il destinatario della truffa è indotto a pensare di aprire una pagina di un ente ufficiale (o comunque una pagina legittima) e abbassa le sue difese recandosi con fiducia nella trappola che è stata preparata.
Controllare su Google
Una ulteriore verifica è prendere un pezzo del testo della mail e metterlo tra virgolette doppie ” ” nel box di ricerca di google, se di truffa si tratta è molto probabile che qualche sito ne parli.
Ricapitolando
– Se la parte nascosta del link presente nel testo della mail punta al sito ufficiale dell’ente da cui abbiamo ricevuto la mail;
– se la ricerca su Google non trova alcun problema
– se il sito dove ci porta il link è sicuro, (sulla barra degli indirizzi compare un lucchetto) e cliccando sul lucchetto compare un menu con ulteriori informazioni;
– se quell’ente o azienda usa normalmente le e-mail per comunicare con i suoi utenti e richiede quei dati (le banche non chiedono mai via e-mail login e password quindi una simile richiesta deve subito mettere in allarme);
– se non vi sono altri elementi che creano sospetto quali ad esempio un testo in italiano scorretto o realizzato grazie ad un traduttore automatico;
allora si può stare abbastanza tranquilli, anche se per una maggiore prudenza si può telefonare al servizio assistenza.
Ovviamente ho dato per scontato che abbiate un antivirus aggiornato
E se il link presente nel testo fosse corretto?
Vediamo un altro tentativo di truffa fatta inviando via mail un falso avviso dell’inps. In questo caso il link inserito nel testo non è truffaldino e punta correttamente al sito ufficiale dell’inps.
Un primo campanello di allarme lo da il testo zoppicante e che utilizza termini che nessuno utilizzerebbe in quel contesto (guarda parti del testo sottolineate). Possiamo dire quello che vogliamo dei dipendenti Inps ma un testo base sanno scriverlo sia pur in burocratese spinto. Dal mio punto di vista basta già questo per mandare la mail nel cestino ma per ulteriore scrupolo si può fare la ricerca su Google.
Perchè hanno messo un link corretto?
Poichè questa truffa circola da tempo ha perso di efficacia e poi il trucco del link truffaldino è sempre più conosciuto. Mettere il link corretto spiazza chi riceve la mail che tranquillizzato apre con fiducia il file allegato dove crede di trovare il modulo ma attiva il virus.