Truffe via mail, come possiamo difenderci?

  

Da tempo oramai le mail rappresentano il mezzo di comunicazione via web di più larga diffusione, soprattutto in ambito lavorativo. Attraverso questo canale passano informazioni importanti, confidenziali e non. Anche l’utente che abbia in generale poca familiarità con l’informatica utilizza la mail con grande naturalezza; che può rivelarsi molto pericolosa. Da tempo sulle mail si è concentrata l’attenzione di chi utilizza Internet per ottenere guadagni illeciti. Ciò che accomuna queste forme di truffa è la necessità di un’azione da parte dell’utente ignaro. Dunque le mail devono sempre essere in qualche modo ingannevoli, poiché sarà la persona che legge ad attivare la minaccia. Il carattere mendace delle comunicazioni è un fattore che si è andato molto evolvendo nel tempo, con livelli di sofisticazione davvero preoccupanti.

 

 

Possiamo dunque distinguere due diverse tipologie di attacchi:

  • Phishing: mail che vuole apparire di origine lecita e che ha normalmente carattere di urgenza o di offerta imperdibile. Si richiede dunque l’inserimento da parte dell’utente di credenziali o del clic su un link malevolo.
  • Spear Phishing: variante del phishing in cui l’attacco non è indirizzato a una moltitudine di soggetti ma è fortemente targhettizzato su una singola vittima. Dunque la mail che la vittima riceverà sarà costruita appositamente per ingannare quel soggetto. Questa tipologia di attacco viene realizzata tramite lo studio delle abitudini della vittima, anche grazie alla mole di dati che ogni giorno inseriamo sul web.

Naturalmente la "taratura" della preda va molto a influire sul livello di complessità e sulla scelta tra un più classico phishing e uno spear phishing di più impegnativa realizzazione. Nel caso di attacchi alle banche ad esempio, lo studio delle abitudini dei dipendenti o dell’amministratore può andare avanti per tempi molto lunghi, per poi andare a colpire con una mail costruita ad hoc sugli interessi della vittima. In questo caso non c’è sicurezza informatica che tenga, e anche la formazione della persona potrebbe vacillare. Sarà solo il più alto livello di cautela dell’utente a salvarlo da questa forma di truffa altamente specializzata.

Quale può essere dunque l’indicazione di massima per evitare di cadere vittima di queste truffe? Avere un livello di aweraness (attenzione, consapevolezza) sempre altissimo, e sospettare di tutte quelle comunicazioni inaspettate e dal carattere promozionale o eccessivamente “spettacolari”.

Presentiamo ora una serie di situazioni tipiche che devono mettere in allarme:

  • mail che provengono da persone o aziende importanti e che contengono errori di battitura o sono scritte male;
  • richieste di denaro di qualunque genere; molti truffatori si impossessano di indirizzi e-mail altrui inventando storie lacrimevoli per convincere la vittima della bontà della comunicazione;
  • richieste di conferma di cambio password. Nessuno, di nessun ente, ci chiederà mai le password di accesso a profilo o account privati;
  • messaggi che ci informano di aver vinto determinati premi monetari e ci invitano a comunicare i dati.

Ed ecco alcuni piccoli consigli informatici da applicare per evitare di cadere in truffe informatiche:

  • controllare l'URL[1]: se ricevete una mail che vi rimanda ad un sito, per esempio uno molto simile (o potenzialmente identico) a quello della vostra banca, il consiglio è di controllare attentamente l’URL perché gli hacker realizzano siti falsi molto simili agli originali in cui ogni informazione inserita finirà nelle mani dei criminali. L’unico modo per non cadere nell’inganno è confrontare gli indirizzi;
  • Web of Trust: si tratta di un’estensione che si può installare sul proprio browser e che permette di verificare se un sito è vero o falso indicandone la veridicità attraverso un’icona presente nella barra degli strumenti;
  • evitare l’apertura di file di estensione eseguibile (.exe): l’estensione .exe è segno di un eseguibile che verrà installato automaticamente al momento del download. Gli hacker utilizzano spesso questo tipo di file per infettare i computer con virus e malware. Svariati programmi legittimi utilizzano però file con questo tipo di estensione e se si ha il sospetto che possa essere un programma malevolo il nostro consiglio è di digitare il nome completo in un browser di ricerca e vedere quali risultati ci mostra.

Nonostante la forte sensibilizzazione sull’argomento che ormai giunge da numerosi canali, i casi sono frequentissimi. Per quanto si possano mettere in atto precauzioni informatiche, è sempre il fattore umano la chiave di attivazione di questi pericoli. E se Verizon (il più grande provider di comunicazione wireless al mondo) scrive nel suo report 2018 che il 4% degli utenti clicca su qualunque mail[2], vuol dire che in quanto a sensibilizzazione delle persone, c'è ancora molto da fare.

 

[1] URL: indirizzo alfanumerico che viene riportato nella barra degli indirizzi browser utilizzato dall’utente.

[2]2018 Data Breach Investigations Report, Verizon, p.3.