Analizziamo insieme un’email truffa per imparare a riconoscerle e difenderci.

Nel corso degli anni, abbiamo scritto molti post sul phishing, dato che è la minaccia numero 1 online sia per i singoli utenti sia per le aziende. Oggi vogliamo condividere le immagini di un’email di phishing reale, che abbiamo ricevuto circa un mese fa e che illustra alla perfezione le caratteristiche di questi messaggi fraudolenti.

In questo post vediamo un caso reale di phishing, descriviamo gli aspetti che consentono di riconoscerlo e condividiamo dei consigli pratici per difenderti. Continua a leggere!

Caso reale di email di phishing

Qualche settimana fa, abbiamo ricevuto questo messaggio:

Come potete vedere, il messaggio è stato contrassegnato da Gmail come possibile spam (ma non direttamente come phishing). All’inizio, però, l’abbiamo visualizzato in un programma di posta elettronica il cui filtro non aveva riconosciuto questa email come fraudolenta. Ecco perché è importante fare molta attenzione: i filtri non sono infallibili e basta un clic sul messaggio sbagliato per subire grossi danni e perdite economiche.

Di seguito, analizzeremo il messaggio per imparare a riconoscere i campanelli d’allarme, poi vedremo come funziona l’attacco di phishing che utilizza questo messaggio (e che rappresenta uno dei metodi più diffusi) e infine vedremo cosa fare quando riceviamo un’email come questa e come proteggerci.

Le prime cose da guardare in un messaggio sospetto sono eventuali errori ortografici, indirizzi strani e incongruenze tra link, testo e immagini.

Come riconoscere il phishing

Questo messaggio ci è sembrato perfetto per spiegare in modo pratico cos’è il phishing, in quanto presenta quasi tutte le caratteristiche tipiche:

  • L’indirizzo del mittente è strano e dovrebbe farci insospettire. Innanzitutto, è molto lungo e contiene una serie di caratteri casuali:
    teamsupportXXXX4839363721847985589
    8265196450258425382391445899423633
    5131263531201@questionprov86889042150860317.com    .
  • L’indirizzo del mittente contiene il nome del destinatario, che per motivi di privacy abbiamo sostituito con XXXX.
  • Il titolo del messaggio è vago: “Abbiamo bisogno della tua conferma per spedire il tuo ordine”.
  • Il messaggio non è criptato, come si vede dall’icona del lucchetto rosso sotto l’indirizzo:

  • Il messaggio è stato inviato tramite un sito che non corrisponde al mittente. In questo caso il sito originale si chiama mysite.weatherford.com, mentre l’email sembra provenire dalle Poste Italiane:

    Il messaggio è stato inviato tramite un sito che non corrisponde al mittente. In questo caso il sito originale si chiama mysite.weatherford.com, mentre l’email sembra provenire dalle Poste Italiane:

  • I colori e il font sembrano quelli delle Poste, ma già a prima vista il messaggio è spoglio e contiene errori; manca il logo dell’azienda e il nome è sbagliato: SERVICPOSTE.

    I colori e il font sembrano quelli delle Poste, ma già a prima vista il messaggio è spoglio e contiene errori; manca il logo dell’azienda e il nome è sbagliato: SERVICPOSTE.

  • Il messaggio contiene un’infinità di errori ortografici e grammaticali. Ecco alcuni esempi: “icriviti” invece di “Iscriviti”; spazi prima dei segni di punteggiatura; punti e maiuscole mancanti; “cio” invece di “ciò, “nuovol” invece di “nuovo” e così via.
  • Il pulsante e i link rimandano a un indirizzo sospetto: https://storage.googleapis.com/i8x7a6l1z8v0m7z0/l2f9p1o5h1a9m9x7.html#h0oh0o.aspx?d4HY4gcctWZLcyhTCcdcYWcJcGdL3fczFcbbb4W (non visitatelo).
  • Il link per annullare l’iscrizione alle notifiche è lo stesso del pulsante e degli altri link contenuti nel messaggio. Per visualizzare gli indirizzi di destinazione dei link, basta passare il puntatore del mouse sul link e lasciarlo fermo per un secondo, senza cliccare.

Come funziona questo messaggio di phishing

Il phishing (che in inglese significa pescare) è un tipo di attacco informatico il cui obiettivo è invogliare le persone a fare clic su link e allegati infetti per rubare i loro dati personali, tra cui i dati di login a siti critici, come la banca online o i social media.

Per riuscirci, i phisher fingono di essere un’azienda legittima, come le Poste Italiane nel caso della nostra email. Poi creano un messaggio o un sito simile a quello dell’azienda per cui si spacciano e contattano migliaia di persone contemporaneamente, grazie ai database di email che si trovano nel dark web.

I messaggi devono convincere la vittima a fare clic su un link e poi inserire dati personali, ma spesso sono fatti male e contengono molti errori, come abbiamo visto poco sopra. Per questo, la priorità numero 1 dei phisher è bloccare la capacità di analisi delle vittime, facendo in modo che agiscano prima di riflettere.

A questo scopo, fanno leva su emozioni di base, come la paura di conseguenze negative o, come nel nostro caso, sulla curiosità e la possibilità di un guadagno facile. In questo modo, l’emozione primaria porta il destinatario a fare clic prima che suonino i campanelli d’allarme.

Una volta fatto clic sul link fraudolento, la vittima viene indirizzata sul sito di phishing, che tramite altri testi ingannevoli chiederà all’utente di inserire i suoi dati di login, che invece verranno inviati al criminale informatico. Questi li userà per accedere all’account della vittima e realizzare operazioni finanziare a suo favore.

IMPORTANTE: l’autenticazione a 2 fattori riduce moltissimo l’efficacia di questi attacchi, ma non è infallibile. I phisher più sofisticati possono intercettare le comunicazioni sul telefono o sul notebook della vittima e rubare anche il codice monouso o altri dati di autenticazione. Tuttavia, queste tecniche più avanzate vengono utilizzate dai cybercriminali quando attaccano persone influenti o molto ricche, che hanno preso di mira personalmente e non durante gli attacchi di massa.

LEGGI ANCHE: Spear phishing, cos’è e come difendersi

Cosa fare quando ricevi un messaggio di phishing

Se ricevi un messaggio come quello dei nostri screenshot, ecco cosa devi fare:

  1. Segnalalo come phishing nell’app di email o sul sito che utilizzi per leggere le email.
  2. Blocca il mittente. In futuro, potresti ricevere altri messaggi fraudolenti dallo stesso criminale, ma se userà un dominio o un indirizzo simile, i filtri delle email lo riconosceranno.
  3. Invia una segnalazione alla polizia postale (seleziona Phishing nel menu a discesa dell’Argomento).
  4. Segnala l’email all’azienda di cui il phisher ha sfruttato l’identità, così potranno informare i clienti e prevenire altri attacchi.
  5. Non fare clic su link o allegati sospetti.
  6. Cancella il messaggio.
  7. Valuta la possibilità di cambiare indirizzo email. Se non puoi perché hai molti contatti o lo usi per lavoro, per sicurezza potresti cambiare la password e andare su Have I been Pwned per controllare se le tue credenziali sono state compromesse durante un data breach (molto probabilmente sì).

Queste sono le prime cose da fare quando ricevi un’email o un SMS di phishing. Ognuna di queste azioni ha l’obiettivo di arginare l’attacco e consentire alle autorità e all’azienda interessata di difendere le altre persone.

Il phishing sfrutta la paura o la curiosità delle persone per bloccare le loro capacità critiche e convincerle a fare clic senza esaminare il messaggio.

Come difendersi dal phishing

Oltre alle cose che abbiamo appena detto, da fare quando ricevi un messaggio fraudolento, ci sono dei comportamenti sicuri da attuare che ti aiuteranno a non subire truffe online:

  • Quando ricevi un messaggio che sembra urgente o ti offre una possibilità di guadagno facile e veloce, fai molta attenzione.
  • Se hai dei sospetti, cerca informazioni online. Ad esempio, nel nostro caso, basta cercare su Google l’indirizzo del mittente per vedere che si tratta di una campagna di phishing.
  • Ricorda che le aziende serie come Poste italiane o la tua banca non ti chiederanno mai i tuoi dati di login o delle carte di credito, né altri dati personali.
  • Non fare mai clic sui link diretti: piuttosto, digita personalmente l’indirizzo nel browser.
  • Se hai dei dubbi, contatta direttamente l’azienda e chiedi informazioni.
  • Se disponibile, utilizza l’app dell’azienda o del servizio online: sono più difficili da hackerare e le notifiche sono attendibili.
  • Informati regolarmente sugli attacchi informatici più comuni che prendono di mira la banca e i servizi che usi. Ad esempio, su questa pagina trovi le tipiche truffe che sfruttano le Poste Italiane, come la riscossione di vaglia o il contatto da presunti promotori finanziari.

In questo post abbiamo visto un’email di phishing reale, che sembra provenire dalle Poste Italiane e cerca di invogliare le vittime a fare clic su un link. Questi messaggi fraudolenti contengono spesso molti errori, ma con l’avvento dell’AI generativa (come ChatGPT), anche i cybercriminali stanno imparando a confezionare messaggi di phishing più credibili.

Per questo motivo è importante fare ancora più attenzione ai messaggi “urgenti” che riceviamo e utilizzare sempre un buon antivirus.

CONTINUA A LEGGERE: Nuovo sondaggio, il 50% degli italiani non sa riconoscere una fake news

Buona navigazione e buona protezione attiva dal phishing!