Immaginate questo: aprite la vostra casella di posta e vedete un messaggio urgente dalla vostra banca. Si dice che il vostro conto è stato compromesso e che dovete verificare immediatamente le vostre informazioni. Il vostro cuore batte forte mentre cliccate sul link, pronti a proteggere il vostro denaro duramente guadagnato. Ma aspettate, siete appena caduti in uno dei trucchi più vecchi del mondo?
Recentemente mi sono occupato di questo aspetto e sono rimasto sorpreso da quanto siano diventate sofisticate le e-mail di truffa! Sono finiti i tempi in cui le truffe erano facilmente individuabili grazie a un'ortografia scorretta o a evidenti schemi da principe nigeriano. Oggi gli indirizzi e-mail falsi possono essere quasi indistinguibili da quelli reali.
Esistono diversi modi per capire se un'e-mail è falsa, ma nessuno di questi è infallibile. È necessario utilizzare una combinazione di tecniche e anche in questo caso non si può essere sicuri al 100%. Ma ci si può avvicinare molto. Dall'analisi delle intestazioni delle e-mail alla comprensione della psicologia che si cela dietro gli attacchi di phishing, vi spiegheremo tutto ciò che dovete sapere per tenere al sicuro la vostra casella di posta e la vostra identità.
Le basi: Esaminare l'indirizzo e-mail potenzialmente falso del mittente
Per catturare un truffatore, dovete pensare come un truffatore. La maggior parte dei truffatori parte da un obiettivo semplice: indurvi a compiere un'azione, che sia cliccare su un link, scaricare un allegato o condividere le vostre informazioni personali e finanziarie. Ma come fanno a portarvi a quel punto? La risposta sta in una combinazione di psicologia e trucchi tecnici.
Iniziamo con la tecnica più semplice: guardare l'indirizzo e-mail stesso.
Individuare le imitazioni di dominio
Innanzitutto, controllate il dominio dell'e-mail. Se vi aspettate un'e-mail da un'azienda affidabile, il dominio dovrebbe corrispondere al sito web ufficiale dell'azienda. Ad esempio, un'e-mail di Amazon dovrebbe provenire da @amazon.com, non da @amaz0n.com.
Gli spammer utilizzano tecniche come il typosquatting, in cui registrano domini molto simili a quelli legittimi. Ad esempio, potrebbero registrare gooogle.com (con tre o) e usarlo per inviare e-mail di phishing che sembrano provenire da Google.
Sottodomini: Non fatevi ingannare
Un altro trucco comune è quello di utilizzare sottodomini per far sembrare legittimo un indirizzo falso. Ad esempio, "paypal.secure-login.com" potrebbe sembrare a prima vista un indirizzo di PayPal, ma "secure-login.com" è il vero dominio. Osservate sempre il dominio principale (la parte subito prima del dominio .com, .org, ecc.) per determinare il vero mittente.
Cercate i nomi dei display ingannevoli
I truffatori possono manipolare il nome visualizzato in un'e-mail di phishing per far sembrare che l'e-mail provenga da una persona conosciuta.
Esempio: Un'e-mail potrebbe sembrare provenire da "Amazon Customer Support", ma l'indirizzo e-mail effettivo è qualcosa come [email protected].
Come controllare: Passare il mouse o fare clic sul nome visualizzato per visualizzare l'indirizzo e-mail effettivo. Questo spesso mostra la vera fonte dell'e-mail e può indicare rapidamente se è legittima o meno.
Il trucco Unicode
Questo ingegnoso trucco consiste nell'utilizzare caratteri di alfabeti non latini che sembrano identici alle lettere standard. Ad esempio, il carattere cirillico "а" (U+0430) è identico alla "a" latina, ma consente ai truffatori di registrare un dominio diverso.
Esempio: Indirizzo email legale: apple.com Email truffaldina spoofata: аpple.com (notate la differenza? Non c'è visivamente!)
In caso di sospetto, è possibile copiare e incollare l'indirizzo in uno strumento di ispezione Unicode per verificare la presenza di eventuali caratteri non standard. Il programma rivelerà la presenza di eventuali caratteri non standard.
Caratteri casuali nell'indirizzo e-mail falso
Un'altra cosa da ricercare in un indirizzo e-mail falso sono le stringhe casuali di numeri o lettere. Gli indirizzi e-mail reali raramente presentano queste stringhe, a meno che non si tratti di indirizzi generati automaticamente per scopi specifici. Se vedete un'e-mail da [email protected], è più probabile che sia falsa rispetto a una da [email protected].
Ma anche in questo caso non si tratta di una regola ferrea. Alcune persone utilizzano numeri casuali nei loro indirizzi e-mail, soprattutto se hanno un nome comune e hanno bisogno di differenziare il loro indirizzo dagli altri.
Il campo Reply-To
La cosa successiva da esaminare è l'indirizzo "reply-to". Questo indica al client di posta elettronica dove inviare le risposte.
Perché è importante
Le e-mail legittime hanno di solito l'indirizzo di risposta impostato sullo stesso dominio del mittente. Se è diverso, soprattutto se si tratta di un servizio di posta elettronica gratuito, è un segnale di allarme. I truffatori sono spesso costretti a utilizzare un indirizzo di risposta diverso, poiché non controllano il dominio che stanno copiando.
Esempio: Un messaggio di posta elettronica potrebbe sembrare proveniente da [email protected], ma l'indirizzo "Rispondi a" potrebbe essere impostato su [email protected].
Come controllarlo
In Gmail, è possibile visualizzare l'indirizzo di risposta facendo clic sulla freccia a discesa accanto al nome del mittente. Altri client di posta elettronica potrebbero richiedere l'avvio della composizione di una risposta per visualizzarla. Se l'indirizzo di risposta non corrisponde al mittente, fate attenzione.
A volte, i truffatori non si preoccupano nemmeno di modificare il campo "Rispondi a". Al contrario, includono un testo nel corpo dell'e-mail chiedendo di rispondere a un indirizzo diverso. Anche questo è sospetto.
Indicatori di autenticazione: I controlli tecnici
Ora entriamo nella parte più tecnica. Non preoccupatevi se all'inizio vi sembra complicato: una volta che sapete cosa cercare, non è poi così difficile.
Cosa sono gli indicatori di autenticazione?
Si tratta di controlli che verificano che un'e-mail provenga effettivamente dal dominio da cui dichiara di provenire.
SPF, DKIM e DMARC
I tre tipi principali di indicatori di autenticazione sono:
- SPF (Sender Policy Framework): Serve a verificare che l'indirizzo IP del mittente sia autorizzato a inviare e-mail per quel dominio. Se un'e-mail proviene da un server non presente in questo elenco, è probabilmente falsa.
- DKIM (DomainKeys Identified Mail): DKIM è come un sigillo antimanomissione per le e-mail. Aggiunge una firma digitale alle vostre e-mail per dimostrare che l'e-mail proviene davvero da voi e non è stata modificata durante il tragitto verso il destinatario.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): La politica DMARC si basa su SPF e DKIM, consentendo ai proprietari dei domini di specificare come gestire le e-mail sospette che non superano questi controlli. Fornisce inoltre ai destinatari un modo per segnalare ai mittenti le e-mail che superano o meno questi controlli.
Come controllarli
Purtroppo, la maggior parte dei client di posta elettronica non mostra in modo evidente importanti informazioni di autenticazione, rendendo più difficile per gli utenti verificare rapidamente la legittimità di un'e-mail.
Alcuni, come Gmail, mostrano le informazioni "spedito da" e "firmato da" direttamente nella visualizzazione dell'e-mail, fornendo una rapida indicazione dell'autenticità dell'e-mail. Per un controllo più approfondito, è possibile accedere alle intestazioni complete delle e-mail.
In Gmail, fare clic sui tre punti accanto al pulsante di risposta e selezionare "Mostra originale" per visualizzare i risultati dettagliati del controllo SPF e DKIM.
Cosa cercare
Per le grandi organizzazioni affidabili, come Google, Apple, Microsoft e così via, dovrebbero passare tutti e tre (SPF, DKIM, DMARC). Per le aziende più piccole, dovrebbero passare almeno SPF e DKIM.
Qualsiasi errore in questo senso è molto sospetto per le e-mail che si suppone provengano da grandi organizzazioni. Detto questo, il superamento di questi controlli non garantisce che un'e-mail sia sicura. Significa solo che proviene davvero dal dominio dichiarato. Un truffatore potrebbe creare un dominio falso con un'autenticazione adeguata. È quindi necessario verificare che si tratti del dominio corretto che ci si aspetta.
Ma leggere le intestazioni delle e-mail non è facile. Sono piene di informazioni tecniche che la maggior parte delle persone non capisce. Gli spammer lo sanno e sono diventati più bravi a falsificare intestazioni che sembrano legittime.
L'indizio "Via
Quando si riceve un'e-mail, di solito si vede l'indirizzo e-mail del mittente in alto. A volte, accanto all'indirizzo del mittente si può vedere anche la parola "via" seguita da un altro nome di dominio. Questo accade quando il server effettivo che invia l'e-mail non è lo stesso dell'indirizzo e-mail visualizzato.
Esempio: Supponiamo di ricevere un'e-mail di questo tipo:
Da: [email protected] via xyz.com
In questo caso, l'e-mail dichiara di provenire da PowerDMARC, ma in realtà viene inviata tramite xyz, che è un servizio di email marketing.
Ci sono ragioni legittime per questo. Molte aziende utilizzano i servizi di posta elettronica per inviare newsletter o e-mail promozionali. Tuttavia, i truffatori possono anche utilizzare questo trucco per far apparire i loro account e-mail più ufficiali.
Prevenire le truffe di phishing con PowerDMARC!
Bandiere rosse dei contenuti: Cosa dice in realtà l'e-mail
Sebbene i controlli tecnici siano importanti, a volte il contenuto stesso dell'e-mail di phishing può essere il più grande indizio. I truffatori sono esperti nel manipolare le emozioni e nel creare scenari che spingono ad agire immediatamente. Questa tattica è nota come "ingegneria sociale". Creando un senso di urgenza o facendo leva sul vostro desiderio di guadagno finanziario, sperano di indurvi a rivelare informazioni personali o a cliccare su link dannosi.
Le tipiche e-mail di truffa di phishing potrebbero affermare che:
- Avete vinto una somma di denaro considerevole.
- Il vostro conto è stato compromesso ed è necessaria un'azione immediata.
- La consegna di un pacco non è andata a buon fine e dovete riprogrammarla.
- È in corso una fattura o una richiesta commerciale urgente.
Queste e-mail di phishing sono progettate per sembrare legittime e possono persino utilizzare loghi, caratteri e layout familiari. L'obiettivo è quello di indurvi a reagire rapidamente senza riflettere in modo critico sull'autenticità dell'e-mail.
Urgenza e minacce
I criminali informatici sanno che la paura e l'urgenza possono indurre ad agire rapidamente. Le e-mail false potrebbero cercare di spaventarvi e creare un senso di urgenza: "Il tuo conto verrà chiuso se non aggiorni immediatamente i tuoi dati di pagamento"; eccitarti, ad esempio "Congratulazioni! Hai vinto 100.000 dollari! Clicca qui per reclamare il tuo premio"; o creare un senso di naturale curiosità ("Guarda chi ha visualizzato il tuo profilo"). Questo tipo di attacco di phishing ha lo scopo di aggirare il vostro pensiero razionale.
Se ricevete un'e-mail di phishing come questa, fermatevi a riflettere. Ha senso che un'azienda legittima vi minacci via e-mail? La maggior parte delle organizzazioni reali non utilizza queste tattiche. Inoltre, se non avete partecipato ad alcun concorso o lotteria, è improbabile che possiate vincerne uno. Ricordate che le organizzazioni legittime non mettono in palio grandi somme di denaro tramite e-mail non richieste.
Se ricevete un'e-mail di phishing, contattate direttamente l'azienda utilizzando un metodo di contatto verificato per verificare se l'e-mail è legittima.
Richieste di informazioni sensibili
Le aziende legittime in genere non chiedono informazioni sensibili via e-mail. Se un'e-mail vi chiede di rispondere con i vostri dati personali, le credenziali del conto, il numero di previdenza sociale o i dati della carta di credito, è quasi certamente falsa.
Allegati inaspettati
Molti truffatori utilizzano spesso allegati dannosi per trasmettere malware o virus, che possono infettare il vostro computer e rubare le vostre informazioni personali. Se ricevete un allegato inaspettato, soprattutto se si tratta di un file .zip o di un tipo di file insolito come .exe, .scr o .vbs, siate molto cauti. Anche tipi di file apparentemente innocui come i PDF o i documenti Word possono contenere macro dannose.
Cosa fare con gli allegati sospetti:
- Non apriteli: Se ricevete un allegato inaspettato, non apritelo se non siete sicuri che provenga da una fonte affidabile.
- Utilizzare il software antivirus: Assicuratevi che il vostro software antivirus sia aggiornato e usatelo per scansionare gli allegati prima di aprirli.
Errori grammaticali, ortografici e incoerenze
Anche se non sono a prova di bomba (anche alcune e-mail legittime presentano errori), la scarsa grammatica e gli errori multipli possono essere un segnale di allarme. I truffatori potrebbero non avere sempre una salda padronanza della lingua in cui scrivono, oppure potrebbero usare intenzionalmente la grammatica scorretta come filtro per eliminare i destinatari più esigenti (le persone che notano e sono scoraggiate dagli errori grammaticali hanno meno probabilità di cadere nel tentativo di phishing). Ecco perché uno dei modi più semplici per identificare un indirizzo e-mail falso è verificare la presenza di errori grammaticali, ortografici e grammaticali.
Le aziende legittime hanno team dedicati per garantire che le loro comunicazioni siano professionali e prive di errori. Di solito hanno modelli di e-mail coerenti e dall'aspetto professionale. Se un'e-mail che sostiene di provenire da un'azienda importante ha un aspetto amatoriale o una formattazione incoerente, potrebbe essere falsa.
Anche le frasi "Gentile cliente" o "Salve utente" possono essere un indizio negativo. Le aziende legittime di solito si rivolgono all'utente con il suo nome, perché hanno i suoi dati in archivio. Le e-mail false spesso utilizzano saluti generici perché vengono inviate in massa.
Collegamenti non corrispondenti
Una delle tattiche più comuni utilizzate dai truffatori è l'inserimento di link dannosi nelle e-mail. Questi link sospetti spesso portano a siti web inaspettati e falsi, progettati per rubare le credenziali di accesso o infettare il dispositivo con malware.
Esempio: Il testo di un link dannoso in un'e-mail potrebbe dire"www.yourbank.com", ma quando ci si passa sopra, l'URL effettivo è qualcosa di completamente diverso, come"www.scamsite.com/login". Si tratta di un URL mascherato o nascosto.
Come verificare i link
È possibile:
Passare il mouse sul link
Posizionare il cursore sul link senza fare clic. In questo modo verrà visualizzata l'effettiva destinazione dell'URL. Se sembra sospetto o non corrisponde al sito web ufficiale, non cliccateci sopra. Invece di cliccare su un link, digitate il nome dell'azienda in un motore di ricerca per trovare il suo sito web ufficiale. Attenzione, però: gli spammer possono utilizzare accorciatori di URL o altre tecniche per nascondere la vera destinazione di un link. Inoltre, alcuni client di posta elettronica non consentono di passare il mouse sui link incorporati per vedere dove vanno a finire.
Cercare HTTPS
I siti web legittimi hanno solitamente un URL che inizia con `https://` e un'icona a forma di lucchetto. Tuttavia, questo non è a prova di bomba, poiché anche i truffatori possono proteggere i loro siti web dannosi.
Avvisi falsi di consegna dei pacchi
Con l'aumento degli acquisti online, i truffatori si sono affidati a falsi avvisi di consegna dei pacchi per indurre le persone a cliccare su link dannosi.
Esempio: "Il tentativo di consegna del pacco non è riuscito. Fare clic qui per riprogrammare".
Cosa fare:
- Controllare l'indirizzo e-mail del mittente: Verificate che l'e-mail provenga dal dominio ufficiale della società di spedizioni (ad esempio, `@fedex.com` o `@ups.com`).
- Accedere direttamente al proprio account: Invece di cliccare sui link, accedete direttamente al sito web dell'azienda per rintracciare il vostro pacco.
Esempi di truffe di phishing
Vediamo alcuni esempi per capire come questi principi si applicano nella pratica.
La classica truffa di PayPal
Da: [email protected] Oggetto: Il tuo account è stato limitato! Corpo: Gentile cliente, abbiamo notato un'attività insolita sul suo conto. Clicchi sul link sottostante per verificare le sue informazioni e ripristinare l'accesso completo al suo conto. [LINK]
Bandiere rosse:
- Spoofing del dominio (paypal.com.secure-account.com)
- Oggetto urgente
- Saluto generico
- Richiesta di cliccare su un link e inserire informazioni
La frode del CEO sofisticato
Da: [email protected] Oggetto: Necessario bonifico urgente Corpo: [Nome del dipendente], ho bisogno che elaboriate un bonifico urgente per una nuova acquisizione. Si tratta di un'operazione sensibile al tempo e riservata. La prego di trasferire immediatamente 50.000 dollari sul seguente conto: [DETTAGLI DEL CONTO].
Fatemi sapere una volta terminato.
[Nome del CEO]
Bandiere rosse:
- Richiesta urgente di denaro
- Pressione per un'azione rapida
- Richiesta di riservatezza
- Richiesta insolita da parte di un dirigente di alto livello
Questo tipo di truffa, nota come Business Email Compromise (BEC), è costata alle aziende miliardi di dollari. Spesso comporta la compromissione o lo spoofing dell'account e-mail di un dirigente per richiedere trasferimenti fraudolenti.
L'e-mail legittima che sembra falsa
Ricevete un'e-mail da una piccola impresa con cui avete già avuto a che fare. I controlli di autenticazione non passano e l'e-mail contiene alcuni errori di battitura. Il primo istinto potrebbe essere quello di contrassegnarla come spam.
Tuttavia, notate che l'indirizzo del mittente corrisponde alla precedente corrispondenza che avete avuto con questa azienda. Il contenuto dell'e-mail fa riferimento a dettagli specifici sulla vostra ultima interazione con loro. In questo caso, nonostante i controlli falliti, l'e-mail potrebbe essere legittima: la piccola impresa potrebbe semplicemente non aver impostato un'autenticazione e-mail adeguata. Questo esempio illustra perché è importante considerare diversi fattori, tra cui il contesto e il rapporto con il mittente, e non solo i controlli tecnici.
I limiti di questi controlli
Vale la pena notare che anche se un'e-mail supera tutti questi controlli, potrebbe teoricamente essere ancora dannosa se l'account del mittente è stato violato. Pertanto, valutate sempre criticamente il contenuto e se ha senso che provenga da quel mittente.
Inoltre, ricordate che questi controlli vi aiutano principalmente a verificare se un'e-mail proviene da chi dichiara di essere. Non vi dicono necessariamente se il mittente stesso è affidabile. Un truffatore potrebbe creare un dominio correttamente autenticato che supera tutti questi controlli, ma che viene comunque utilizzato per scopi dannosi.
Misure proattive per proteggersi dalle e-mail false e dagli attacchi di phishing
Essere consapevoli dei segnali di indirizzi falsi è solo metà dell'opera. È altrettanto importante adottare misure proattive per proteggere se stessi e la propria organizzazione.
Rimanere informati sulle truffe attuali
Le tattiche delle e-mail false si evolvono costantemente. Tenersi informati sulle attuali truffe di phishing può aiutare a individuare nuovi tipi di e-mail false. Molte organizzazioni pubblicano regolarmente aggiornamenti sulle nuove truffe via e-mail. Ad esempio, l'Internet Crime Complaint Center(IC3) dell'FBI pubblica avvisi sulle attuali minacce e truffe informatiche. Analogamente, la Federal Trade Commission (FTC) offre preziose informazioni sulle ultime attività fraudolente. E se volete andare davvero a fondo, c'è l' Anti-Phishing Working Group(APWG), che si concentra specificamente sulle truffe di phishing.
Attenzione anche alle truffe generate dall'intelligenza artificiale e al phishing vocale (vishing). L'intelligenza artificiale sta rendendo più facile per i truffatori creare messaggi di phishing personalizzati e convincenti su larga scala. Nel frattempo, alcuni truffatori stanno combinando queste tattiche e-mail con chiamate vocali e telefoniche, spesso utilizzando l'intelligenza artificiale per clonare le voci, creando una truffa più complessa e potenzialmente credibile. Questa tecnica, nota come vishing, aggiunge un elemento uditivo ai tradizionali attacchi di phishing, rendendo ancora più difficile per le potenziali vittime discernere la verità.
Utilizzo di soluzioni di filtraggio delle e-mail
I filtri antispam avanzati possono aiutare a rilevare e bloccare le e-mail false prima che raggiungano la casella di posta principale. Queste soluzioni utilizzano l'apprendimento automatico e l'intelligenza artificiale per analizzare il contenuto delle e-mail, le informazioni sul mittente e altri metadati per identificare le e-mail potenzialmente dannose.
Servizio di notifica delle violazioni dei dati
Utilizzate servizi legittimi come Have I Been Pwned, Avast Hack Check per verificare se il vostro indirizzo e-mail è stato coinvolto in una violazione dei dati.
Implementare i protocolli di autenticazione e-mail
L'utilizzo di protocolli di autenticazione delle e-mail come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) può aiutare a proteggere il vostro dominio dallo spoofing.
Purtroppo, l'autenticazione delle e-mail non è così diffusa come si potrebbe sperare. Secondo alcune stime, oltre l'80% dei domini non ha alcun record SPF. E tra quelli che ce l'hanno, molti non applicano politiche rigorose. Il DMARC, considerato il metodo di autenticazione delle e-mail più completo, è utilizzato da un numero ancora minore di domini. Anche quando queste protezioni sono presenti, non sempre sono configurate correttamente.
Per le aziende che desiderano implementare una solida autenticazione delle e-mail, PowerDMARC offre una soluzione completa. La sua piattaforma semplifica il processo di impostazione e gestione dei record DMARC, SPF e DKIM.
Caratteristiche principali:
- Generatore di record DMARC: Crea e gestisce facilmente i record DMARC.
- Gestione dei record SPF: Ottimizzate i vostri record SPF per prevenire lo spoofing delle e-mail.
- Assistenza per l'installazione di DKIM: Implementate la firma DKIM per il vostro dominio con lo strumento di generazione DKIM.
- Reporting forense: Ottenete informazioni dettagliate sui fallimenti dell'autenticazione delle e-mail.
- Threat Intelligence: Identificare le potenziali minacce al dominio della vostra azienda.
Utilizzando un servizio come PowerDMARC, le organizzazioni possono ridurre significativamente il rischio che il loro dominio venga utilizzato in attacchi di phishing, proteggendo sia la reputazione del loro marchio che i loro clienti.
Rimanere vigili
I truffatori evolvono costantemente le loro tecniche. Tuttavia, esaminando attentamente l'indirizzo del mittente, il campo di risposta e i risultati dell'autenticazione, è possibile individuare la maggior parte delle e-mail false. Considerate questi metodi come aiuti per amplificare il vostro naturale scetticismo, non per sostituirlo. Sono come i dispositivi di sicurezza di un'automobile: possono aiutare a prevenire gli incidenti, ma bisogna comunque guidare con prudenza. In definitiva, se un'e-mail vi sembra sospetta, trattatela come tale. È meglio ignorare occasionalmente un'e-mail reale che cadere in una truffa di phishing.
Ricordate che nessuno è immune da queste truffe di phishing. Anche chi è esperto di tecnologia può essere ingannato da un falso abbastanza intelligente.
- L'ascesa delle truffe con pretesto negli attacchi di phishing potenziati - 15 gennaio 2025
- Il DMARC diventa obbligatorio per il settore delle carte di pagamento a partire dal 2025 - 12 gennaio 2025
- Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito - 11 gennaio 2025