Il mondo è pieno di insidie.
Ogni giorno milioni di ingannevoli email di phishing raggiungono milioni di caselle di posta elettronica con un unico scopo: derubare il destinatario. Che sia un tentativo di accedere al conto corrente, di rubare i dati personali o di entrambe le cose, puoi imparare a riconoscere le email di phishing e restare al sicuro.
Oggi alcune di esse sono diventate più difficili da individuare.
Sembrano provenire da aziende note e affidabili, come la banca, la società emittente della carta di credito o i servizi come Netflix, PayPal e Amazon. Alcune sono proprio convincenti: la scrittura e l’impaginazione sono immacolate e la presentazione complessiva è professionale, eppure c’è ancora qualcosa di strano.
Sicuramente c’è qualcosa che non va, perché tali email vengono scritte dai truffatori. Le email di phishing utilizzano la tattica dell’amo con l’esca: un messaggio urgente o allettante è l’esca, mentre il malware o un link a una pagina di accesso fasulla è l’amo.
Se si abbocca all’amo, possono accadere diverse cose. La pagina di accesso fasulla può rubare i dati personali e relativi all’account oppure il malware potrebbe installare: un software di registrazione delle battute sulla tastiera (keylogger) per rubare le informazioni, un virus che apre una porta attraverso cui compromettere i dati oppure un ransomware che prende in ostaggio il dispositivo e i suoi dati fino al pagamento di un riscatto.
Anche in questo caso puoi evitare tali attacchi se sai come individuarli tramite degli indizi.
Ora esamineremo la prolificità di questi attacchi, ne vedremo alcuni esempi e gli aspetti da tenere in considerazione.
Statistiche sugli attacchi di phishing: ogni anno vengono effettuati milioni di tentativi
Solo negli Stati Uniti, nel 2022 più di 300.000 vittime hanno denunciato all’FBI un attacco di phishing. Gli attacchi di phishing sono in cima alla lista delle segnalazioni, circa sei volte di più rispetto al secondo classificato: le violazioni dei dati personali. La cifra reale è senza dubbio più alta, dato che non tutti gli attacchi vengono denunciati.
Prendendo in considerazione gli attacchi di phishing a livello mondiale, uno studio suggerisce che solo nella seconda metà del 2022 sono stati effettuati più di 255 milioni di tentativi di phishing. Si tratta di un aumento del 61% rispetto all’anno precedente. Un altro studio ha concluso che una su 99 email inviate conteneva un attacco di phishing.
Tuttavia, i truffatori non sempre gettano una rete così ampia. Le statistiche indicano un aumento dello spear phishing, una tecnica mirata in cui l’aggressore punta a una persona specifica. Spesso vengono prese di mira le persone che hanno l’autorità di trasferire fondi o effettuare pagamenti, altri obiettivi sono quelle che hanno accesso a informazioni sensibili come password, dati proprietari e informazioni sui conti.
Di conseguenza, il prezzo di questi attacchi può essere elevato. Nel 2022 l’FBI ha ricevuto 21.832 denunce da aziende che hanno dichiarato di essere state vittime di un attacco di spear phishing. Le perdite sono state di oltre 2,7 miliardi di dollari, con un costo medio di 123.671 dollari per attacco.
Sebbene le statistiche esatte sugli attacchi di phishing rimangano piuttosto incerte, non c’è dubbio che siano prolifici e costosi.
Che aspetto ha un attacco di phishing?
Quasi tutti gli attacchi di phishing inviano un messaggio urgente, studiato per indurti ad agire.
Alcuni esempi:
- “Hai vinto un premio in denaro! Inviaci i tuoi dati bancari così potremo depositare la tua vincita”.
- “Ingiunzione di pagamento di tasse arretrate. Inviare immediatamente il pagamento utilizzando questo link o pena la denuncia alle forze dell’ordine”.
- “Abbiamo individuato quella che potrebbe essere un’attività insolita sulla sua carta di credito. Segua questo link per confermare i dati del suo conto”.
- “C’è stato un tentativo non autorizzato di accedere al suo account di streaming. Faccia clic qui per verificare la sua identità”.
- “Il pacco non è stato consegnato. Fare clic sul documento allegato per fornire le istruzioni di consegna”.
Poiché i messaggi sono inseriti in un’impaginazione gradevole e abbinati a un logo dall’aspetto ufficiale, è facile capire perché molte persone facciano clic sul link o sull’allegato che li accompagna.
Il problema degli attacchi di phishing è proprio questo. Negli ultimi anni i truffatori hanno migliorato le proprie tattiche, per cui le email di phishing possono sembrare convincenti. Fino a non molto tempo fa si potevano notare errori di ortografia e grammatica, impaginazione scadente e logo distorti o con i colori sbagliati. Attacchi di phishing mal eseguiti come questo si fanno ancora strada nel mondo, tuttavia oggi è sempre più frequente assistere ad attacchi molto più sofisticati, che sembrano proprio messaggi o avvisi autentici.
Esempio: Supponiamo che tu abbia ricevuto un’email secondo la quale il tuo account PayPal ha avuto un problema. Scriveresti i dati del tuo account se ti trovassi su questa pagina? Se sì, consegneresti i tuoi dati a un truffatore.
Abbiamo acquisito la schermata di cui sopra seguendo un attacco di phishing fino in fondo, ovviamente senza inserire informazioni legittime. Infatti abbiamo inserito un indirizzo email e una password non validi e il sistema ci ha comunque permesso di entrare, perché i truffatori cercavano altre informazioni, come vedremo.
Addentrandoci, il sito ci è sembrato piuttosto fedele. Il design rispecchiava lo stile di PayPal e i link a piè di pagina apparivano sufficientemente ufficiali. Ma poi abbiamo guardato più da vicino. Nota i sottili errori, come “card informations” e “Configuration of my activity”. È vero che occasionalmente le aziende commettono errori grammaticali, ma il fatto di trovarli in un’interfaccia deve far suonare un campanello d’allarme. Inoltre il sito richiede i dati della carta di credito molto presto. È tutto molto sospetto.
Ed è qui che gli aggressori sono diventati davvero audaci. Chiedono “informazioni” bancarie, che non comprendono solo le coordinate e il numero di conto, ma anche la password. Come detto, molto audace e del tutto fasullo.
Nel complesso, i sottili errori e la palese richiesta di informazioni sul conto corrente indicano chiaramente che si tratta di una truffa.
Facciamo però un passo indietro. Chi è stato a inviare l’email di phishing che ci ha indirizzati a questo sito dannoso? Niente meno che “paypal chiocciola inc punto-com”. È chiaro che si tratta di un indirizzo falso, tipico di un attacco di phishing in cui l’aggressore inserisce un nome familiare in un indirizzo email non associato a esso, in questo caso “inc punto-com”. I truffatori possono anche creare indirizzi falsi che imitano quelli ufficiali, come “paypalcustsv punto-com”. Qualsiasi cosa, pur di ingannarti.
Allo stesso modo, anche il sito dannoso a cui ci ha indirizzati l’email di phishing utilizzava un indirizzo contraffatto. Non aveva alcuna associazione ufficiale con PayPal, il che dimostra che si trattava di un attacco di phishing.
Ricorda che le aziende inviano email solo dai loro nomi di dominio ufficiali, utilizzati anche dai loro siti. Per contribuire a contenere gli attacchi di phishing, diverse aziende e organizzazioni elencano i domini ufficiali sui loro siti Web.
Ad esempio, PayPal dispone di una pagina che indica chiaramente le modalità con cui ti contatterà e non ti contatterà. McAfee ha un’intera pagina dedicata alla prevenzione degli attacchi di phishing, che elenca anche gli indirizzi email ufficiali che utilizza.
Altri esempi di attacchi di phishing
Non tutti i truffatori sono così sofisticati, almeno nel modo in cui progettano le loro email di phishing. Possiamo citare come esempio alcune email di phishing che si sono spacciate per comunicazioni legittime di McAfee.
Questo primo esempio di email contiene molti elementi. I truffatori cercano di imitare il marchio McAfee, senza riuscirci, ma fanno anche altre cose per cercare di essere convincenti. Nota l’uso della fotografia e la confezione del nostro software, abbinati a un titolo di spicco:”Agisci ora”. Non è lo stile fotografico che utilizziamo. Non che la gente possa saperlo ma si potrebbe avere un pensiero passeggero del tipo: “Mmm. Non sembra proprio quello che McAfee mi invia di solito”.
Oltre a questo, ci sono alcuni errori delle maiuscole e della punteggiatura, mentre le icone “order now” (“ordina ora”) e “60% off” (“60% di sconto”) sembrano applicate frettolosamente. Nota anche il pizzico di paura che viene lanciato con l’accenno “Ci sono (42) virus nel tuo computer …”.
Considerando il tutto, con uno sguardo attento si può subito capire che si tratta di una truffa.
Il prossimo annuncio rientra nella categoria meno sofisticata: è praticamente tutto testo in cui abbonda pesantemente l’inchiostro rosso. Di nuovo presenta numerosi errori delle maiuscole e della grammatica. Nel complesso, la lettura non è scorrevole. Non è nemmeno facile per l’occhio, come dovrebbe essere un’email corretta riguardante il tuo account. Ciò che distingue questo esempio è la dichiarazione “pubblicitaria” sottostante, che cerca di conferire all’attacco una certa legittimità. Nota anche il falso link “unsubscribe” (“cancella l’iscrizione”), oltre all’indirizzo postale (che abbiamo omesso) e al numero telefonico, che cercano tutti di fare la stessa cosa.
Quest’ultimo esempio non ha un tipo di carattere corretto e il simbolo del marchio è posizionato in modo strano. Si ripresentano i soliti errori grammaticali e delle maiuscole, ma questo esempio di phishing ha un approccio leggermente diverso. I truffatori hanno inserito in fondo all’email un conto alla rovescia, che dà un senso di urgenza. Vogliono farti credere che hai solo mezz’ora di tempo circa per poterti abbonare alla protezione. Questo è falso, ovviamente.
Vedi i temi ricorrenti? Ce ne sono alcuni. Tenendo a mente questi esempi, entriamo nei dettagli: come individuare gli attacchi di phishing e come evitarli del tutto.
Come individuare e prevenire gli attacchi di phishing
Come abbiamo visto, alcuni attacchi di phishing appaiono effettivamente sospetti fin dall’inizio. Tuttavia, a volte ci vuole un po’ di tempo e uno sguardo particolarmente critico per individuarli.
È su questo che i truffatori contano: sperano che l’utente agisca rapidamente o che comunque si preoccupi un po’ mentre scorre le email o i messaggi, facendosi distrarre al punto da non soffermarsi a pensare: questo messaggio è davvero legittimo?
Uno dei modi migliori per sconfiggere i truffatori è prendersi un momento per esaminarne i messaggi tenendo presente quanto segue.
Giocano sulle tue emozioni
La paura è un elemento importante. Può essere scatenata da un’email di un’agenzia governativa, dal tono minaccioso, che ti intima di pagare delle tasse arretrate o magari da un’altra, di un familiare che chiede dei soldi per un’emergenza. In ogni caso, i truffatori fanno leva sulla paura come spinta emotiva.
Se ricevi un messaggio del genere, pensaci due volte. Valutane l’autenticità. Per esempio, consideriamo l’email fiscale. L’agenzia statunitense delle entrate, IRS, possiede delle linee guida specifiche su come e quando contatta gli utenti. Di norma, si avvale della posta fisica del servizio postale degli Stati Uniti. L’agenzia non chiama né applica tattiche di pressione, poiché solo i truffatori lo fanno. Analogamente, anche altri Paesi hanno delle norme simili.
Ti chiedono di agire, ADESSO
I truffatori amano l’urgenza. Gli attacchi di phishing iniziano suscitando le tue emozioni per indurti ad agire rapidamente. Per creare il senso di urgenza i truffatori potrebbero usare minacce o un linguaggio molto concitato, entrambi chiari segni di una potenziale truffa.
Certo, aziende e organizzazioni legittime potrebbero contattarti per notificarti un ritardo nei pagamenti o una possibile attività illecita su uno dei tuoi conti. Tuttavia assumeranno un tono molto più professionale e obiettivo di quello di un truffatore. Ad esempio, è altamente improbabile che l’azienda elettrica locale interrompa il servizio se non si paga immediatamente una bolletta scaduta.
Vogliono farsi pagare in un certo modo
Carte regalo, criptovalute, vaglia: queste forme di pagamento sono un altro segnale di un possibile attacco di phishing. I truffatori preferiscono questi metodi di pagamento perché sono difficili da rintracciare e i consumatori hanno possibilità scarse o nulle di recuperare i fondi persi.
Le aziende e le organizzazioni legittime non chiedono pagamenti in queste forme. Se ricevi una richiesta di pagamento con uno di questi metodi, puoi scommettere che si tratta di una truffa.
Utilizzano indirizzi non corrispondenti
Ecco un altro modo per individuare un attacco di phishing. Osserva attentamente gli indirizzi utilizzati dal messaggio. Se si tratta di un’email guardane l’indirizzo, che potrebbe non corrispondere affatto all’azienda o all’organizzazione in questione o magari sì, in una certa misura, ma con l’aggiunta di qualche lettera o parola al nome. Questo è un altro indizio del fatto che potresti essere vittima di un attacco di phishing.
Analogamente, se il messaggio contiene un link web, esamina attentamente anche quello. Se il nome sembra poco familiare o alterato rispetto a come lo hai visto in precedenza, anche questo potrebbe significare che sei di fronte a un tentativo di phishing.
Proteggersi dagli attacchi di phishing
- Vai direttamente alla fonte. Alcuni attacchi di phishing possono sembrarti convincenti tanto da seguirli, ad esempio se la banca segnala attività irregolari sul tuo conto o se una bolletta risulta scaduta. In questi casi, non fare clic sul link contenuto nel messaggio. Vai direttamente al sito Web della banca in questione e accedi al tuo conto da lì. Allo stesso modo, se hai delle domande, puoi sempre chiamare il numero del servizio clienti o consultare la loro pagina web.
- Controlla con il mittente. Fai attenzione alle email che potrebbero essere un attacco di spear phishing. Se un’email sembra provenire da un familiare, un amico o un socio d’affari, contattalo per verificare se l’ha davvero inviata lui, soprattutto se chiede denaro, se contiene un allegato o link discutibile o semplicemente se non sembra una cosa che farebbe. Manda un messaggio, telefona o incontralo di persona. Non rispondere all’email perché potrebbe essere stata compromessa.
- Non scaricare gli allegati. Alcuni attacchi di phishing inviano allegati pieni di malware come i ransomware, i virus e i keylogger di cui abbiamo parlato prima. I truffatori possono spacciarli per una fattura, un resoconto o addirittura un’offerta di buoni sconto. Se ricevi un messaggio con un allegato di questo tipo, cancellalo e soprattutto non aprirlo. Anche se ricevi un’email con un allegato da una persona che conosci, contattala, soprattutto se non ti aspettavi un allegato da parte sua. Per diffondere il malware, i truffatori spesso compromettono o falsificano gli account di posta elettronica di persone comuni.
- Passa il mouse sul link per verificare l’URL. Nei computer da tavolo e portatili, è possibile passare il cursore sui link senza farvi clic, per visualizzarne l’indirizzo Web. Se l’URL sembra sospetto in uno dei modi citati sopra, elimina il messaggio senza fare clic sul link.
Proteggersi ulteriormente dagli attacchi tramite email
Un software di protezione online può proteggerti dagli attacchi di phishing in diversi modi.
Per cominciare, offre una protezione Web che ti avvisa quando i link portano a siti Web dannosi, come quelli utilizzati negli attacchi di phishing. Analogamente, il software di protezione online può avvisarti degli scaricamenti e allegati email dannosi, in modo da non farti ritrovare con un malware nel dispositivo. Se però dovesse accadere, l’antivirus può bloccare e rimuovere il malware.
Un software di protezione online come il nostro può anche affrontare il problema alla radice. I truffatori devono ottenere il tuo indirizzo email da qualche parte. Spesso lo ottengono dai broker di dati online: siti che raccolgono e vendono dati personali a qualsiasi acquirente, compresi i truffatori.
I broker di dati ottengono queste informazioni da registri pubblici e da terze parti per venderle all’ingrosso. I truffatori hanno così massicci elenchi di indirizzi con cui colpire migliaia di potenziali vittime. Puoi rimuovere i tuoi dati da alcuni dei siti di broker più rischiosi con la nostra rimozione dei dati personali, che riduce l’esposizione ai truffatori tenendo il tuo indirizzo di posta elettronica fuori dalle loro grinfie.
In generale, le email di phishing presentano degli indizi rivelatori, alcuni più difficili da scorgere degli altri. Tuttavia è possibile individuarli sapendo cosa cercare e se ci si prende il tempo per cercarli. Poiché questi attacchi sono molto diffusi e in aumento, oggi è necessario guardare alle proprie email con occhio critico.