Cos'è un'e-mail di phishing?

In un attacco di phishing, un truffatore va alla ricerca di possibili vittime utilizzando un'e-mail come esca; questa potrebbe contenere dei link pericolosi che, se cliccati, infettano il dispositivo con una serie di malware. Le e-mail di phishing riproducono i loghi e i font aziendali, nonché i nomi dei domini in modo così accurato che non nutrirai alcun sospetto quando ti verrà chiesto di "confermare la tua password rispondendo all'e-mail".

5 esempi di e-mail di phishing

1. E-mail di persone che fingono di essere bloccate in un Paese straniero. In genere hanno bisogno che tu invii loro del denaro, in modo che possano tornare a casa. Il principe nigeriano a cui occorre una donazione urgente di 1.500 $ è una variazione sul tema.

2. I truffatori possono fare leva sulle debolezze umane e trarne vantaggio facendo riferimento a notizie e questioni di attualità. Perfino in una pandemia globale come quella del Covid-19 possono vedere un'opportunità di profitto. Fai attenzione ai messaggi di testo che parlano di "multe" a chi esce di casa, ai finti siti web che offrono sgravi fiscali e ai raggiri che riguardano l'acquisto di mascherine e disinfettanti per le mani. Queste sono solo alcune delle truffe in circolazione in questo momento, quindi stai sempre all'erta.

3. E-mail in cui i truffatori minacciano di farti del male se non invii loro ingenti quantità di denaro entro un certo lasso di tempo.

4. E-mail relative a un reclamo che sai di non aver effettuato. Ovviamente, non cedere alla tentazione di saperne di più cliccando sul link (che contiene stringhe di codice pericolose).

5. E-mail che fingono di provenire da organizzazioni o aziende affidabili. Potrebbero chiederti di cambiare la password o di fornire maggiori informazioni su di te per un motivo urgente.

Come capire se si tratta di un'e-mail di phishing

Se sai a cosa prestare attenzione, le truffe di phishing sono piuttosto facili da riconoscere: gli indizi sono spesso nascosti in bella vista.

1. Una formula generica di saluto. Non fidarti delle e-mail che si rivolgono a te con formule come "Gentile signore/signora" o "Sig./Sig.ra". Le aziende affidabili hanno un database di nominativi e si rivolgono sempre ai clienti chiamandoli per nome. Presta sempre attenzione al linguaggio usato e alla fluidità della comunicazione: abbreviazioni, uso di termini gergali ed errori di ortografia sono segnali inequivocabili.

2. Piccole variazioni nel nome del dominio. Il nome del dominio è ciò che segue la chiocciola (@) nell'indirizzo e-mail del mittente. Visto che ogni dominio è unico, diffida se ricevi l'e-mail da "[email protected]" anziché da "[email protected]": in questo caso, la presenza del trattino è il primo segno rivelatore di una truffa. Fai attenzione ai numeri inseriti al posto delle lettere, e così via.

3. E-mail in cui vengono richieste informazioni personali. Le aziende legittime sono soggette a regole sulla protezione dei dati, dunque non ti chiederanno mai di fornire informazioni personali tramite e-mail. Inoltre, non ti invieranno mai un link su cui cliccare per inserirle. Si tratta di una misura di sicurezza adottata dalla maggior parte delle aziende per contrastare le e-mail di phishing.

4. Allegati non richiesti e inaspettati. Se ricevi un'e-mail con un allegato sospetto e di dubbia natura che non ti aspettavi, è molto probabile che si tratti di un tentativo di phishing. Non scaricare o aprire mai, per nessun motivo, tali allegati.

5. Errori ortografici e grammaticali. Uno dei modi più semplici per identificare un'e-mail di phishing è quello di cercare eventuali errori grammaticali. Un'e-mail inviata da una fonte attendibile dovrebbe essere ben scritta, mentre gli errori grammaticali sono spesso la conseguenza della pigrizia e della noncuranza degli hacker.

6. Link sospetti che ti obbligano ad aprire una finta pagina web. Le organizzazioni legittime che comunicano tramite e-mail generalmente non costringono i clienti a visitare il proprio sito. Le e-mail di phishing, invece, possono essere costituite da un unico ed enorme collegamento ipertestuale tale per cui, ovunque tu clicchi, verrai reindirizzato su un sito web contraffatto o di dubbia natura.

Cosa devi fare se hai risposto a un'e-mail di phishing

Se temi che un truffatore abbia messo le mani sui tuoi dati, metti subito in atto le seguenti misure. Questi accorgimenti sono validi soprattutto nel caso di dati sensibili compromessi, come il numero della carta di credito o di previdenza sociale, i dati della patente di guida, le credenziali bancarie e l'indirizzo di residenza.

• Se il tuo numero di previdenza sociale è stato violato: controlla il tuo conto bancario. Cerca rapporti di credito gratuiti online e valuta la possibilità di richiedere un blocco del credito gratuito o l'emissione di un avviso di frode sul tuo conto: così facendo, per un malintenzionato sarà molto più difficile aprire un nuovo conto a tuo nome. Invia tempestivamente la tua dichiarazione dei redditi, prima che possano farlo i truffatori: generalmente, utilizzano il numero di previdenza sociale per ottenere un lavoro o un rimborso fiscale.

• Se i dati del tuo conto bancario sono stati violati: chiudi il conto e aprine uno nuovo. Richiedi una nuova carta di debito o di credito e contatta il reparto frodi della tua banca per ottenere un risarcimento.

• Se hai cliccato su un link che ha scaricato un software dannoso sul tuo dispositivo: aggiorna immediatamente il sistema ed esegui una scansione per verificare l'assenza di virus e il corretto funzionamento del dispositivo.

• Se le tue credenziali di accesso sono state violate: modifica immediatamente tutte le password e valuta la possibilità di usare un gestore di password per rafforzare la tua sicurezza generale. Un gestore di password ti aiuta a generare password forti e univoche e ti permette di conservare in modo sicuro le credenziali, nonché di accedervi all'istante anche quando sei offline.

Come bloccare le e-mail di phishing

Ricorda che non hai alcun obbligo o pressione a rispondere a un'e-mail: chiama o scrivi alla presunta azienda che ti ha inviato il messaggio utilizzando i contatti presenti sul suo sito web ufficiale, invece di rispondere a una potenziale truffa.

Non utilizzare mai i link, i numeri di telefono o gli indirizzi web presenti in un'e-mail inaspettata, inviata da mittenti sconosciuti o che sostiene di essere di enorme importanza.

Negli Stati Uniti puoi:

• Inoltrare tutti i messaggi di phishing a SPAM (7726).

• Inoltrare le e-mail di phishing al consorzio Anti-Phishing Working Group (APWG) all'indirizzo [email protected]

• Oppure ancora, puoi segnalare gli attacchi di phishing alla FTC (Federal Trade Commission) sul sito ReportFraud.ftc.gov.