Phishing, una truffa on-line sempre più pericolosa e sofisticata, impara a riconoscerla per non dover mai cadere nella trappola dei phisher truffatori.

Il phishing potremmo definirla l’arte di cercare di “fregarvi” i vostri dati d’accesso a un qualsiasi servizio, meglio se bancario, postale o di qualche carta di credito, così da svuotarvi il conto corrente, ma vanno bene anche social network, caselle di posta elettronica o giochi online. L’importante è rimediare dei contanti, se non ci si può arrivare direttamente vanno bene anche dati personali che possono essere rivenduti o utilizzati per scopi poco leciti.

Parliamoci chiaro, nessun ente, serio, vi chiederà mai di confermare la vostra login e password con una mail, quindi la destinazione di questi messaggi non può essere che quella del cestino della posta. Il problema è che alcuni messaggi di posta, e i siti a loro collegati, sono ormai fatti piuttosto bene e possono trarre in inganno l’utente poco esperto che si ritrova così con il conto corrente svuotato o l’account di Facebook perso per sempre.

I phisher, cioè i truffatori che vogliono rubarvi i vostri dati riservati, vi comunicano che la vostra banca deve aggiornare gli archivi dei clienti (quindi dovete reinserire i vostri dati personali, fanno leva sull’emergenza (qualcuno ha tentato di accedere al vostro conto corrente) e sul pericolo di blocchi al proprio conto corrente per la vostra “sicurezza”, cercano di mettere pressione al destinatario della mail, in modo da farlo cadere in trappola e da fargli inserire utenza e password in pagine Web fasulle che sono (spesso) un clone, quasi perfetto, del sito originale.

A volte le persone mi hanno chiesto come mai ricevevano questo tipo di messaggi su indirizzi email appena aperti e mai forniti a nessuno, è abbastanza semplice, i truffatori si limitano a mandare migliaia di email a tutti gli indirizzi possibili e, prima o poi, sperano di trovare qualcuno che utilizzi veramente quella banca, o carta di credito, e di riuscire a farlo abboccare alla truffa.

Update: In fondo all'articolo ho voluto aggiungere un caso molto recente (Luglio 2017) di phishing "molto esigente", ma anche, definiamolo, divertente per la quantità di dati che richiedeva e sperava di ottenere. Per il resto i consigli, e le indicazioni, fornite rimangono sempre validi.

Come riconoscere una mail di phishing

Ci sono molte mail che sono praticamente perfette, ma ci sono tanti altri messaggi con un linguaggio molto incerto, non indirizzati al vostro nome, ma al vostro indirizzo email o privi di destinatario, messaggi senza testo ma con una immagine cliccabile che vi rimanda al sito di phishing, per cercare di aggirare i controlli anti-phishing dei provider di posta. Tutti questi, e non solo, sono sintomi di una mail truffaldina.

Come riconoscere email phishing - guida anti-truffa

Se proprio vi viene il dubbio che la mail possa essere autentica, non cliccate mai sul collegamento presente nella mail, ma andate nel sito reale del servizio che vi potrebbe aver inviato il messaggio e controllate l’eventuale veridicità delle informazioni ricevute solo da quell’indirizzo.

Non avete seguito nessuno di questi consigli e avete cliccato sul link presente nel messaggio di posta, ormai che siete entrati verificate di essere in un sito sicuro Https (quelli con il lucchetto) e controllate anche l’indirizzo Web del sito.

Gli indirizzi dei siti di Phishing sono somiglianti a quello vero contenendo l’indirizzo reale (per convincere l’utente inesperto), seguito da numerosi altri caratteri, utili per creare confusione e per nascondere il fatto che il dominio non sia un .it ma si trovi in qualche paese asiatico o dell’Est Europa.

Come riconoscere email phishing - guida anti-truffa

Altro sintomo di mail phishing è la presenza di allegati, il più delle volte file Html che hanno la grafica del sito ufficiale del servizio, da compilare per inserire utenza e password. Non si possono neanche escludere altri tipi di allegati, molto più malevoli, utilizzati per infettare il vostro computer.

Anche il mittente della mail è importante, se mi scrivono le poste italiane e poi trovo un misterioso dsadsa@google.com, qualcosa non torna. Se si tratta di un indirizzo di un vostro amico, o cliente, ma il messaggio vi sembra sospetto, chiamatelo e verificate con lui, magari il suo computer è stato infettato da un virus e viene utilizzato per mandare mail pericolose.

Come riconoscere email phishing - guida anti-truffa

Controllate l’oggetto della mail, “Inaugurazione dell’Apple Store” non ha molto a che vedere con il fatto di volermi bloccare il mio conto Apple (che, tra le altre cose, non ho nemmeno).

Come riconoscere email phishing - guida anti-truffa

Altra categoria di mail Phishing sono quelle in cui il testo è stato sostituito da una immagine, così da aggirare i controlli dei vari gestori di posta, completamente cliccabile che rimanda al sito dei truffatori.

Come riconoscere email phishing - guida anti-truffa

Altra prerogativa di questi siti di phishing è di avere vita molto breve, proprio per sfuggire ai controlli e non entrare in qualche blacklist, possono arrivare messaggi privi di immagini, o con l’indirizzo non più funzionante.

Come riconoscere email phishing - guida anti-truffa

Tra le mail phishing da cestinare immediatamente sono quelle riguardanti servizi esteri dove difficilmente dovreste avere un conto aperto.

Come riconoscere email phishing - guida anti-truffa

Per concludere gli esempi di mail phishing una piccola raccolta di esempi legati a CartaBcc, due indirizzate alla mia email, due al “Gentile cliente”, una al “Gentile titolare” e una al “Gentile”. Almeno i nostri “gentili” phisher sono educati, ma non sono in grado di fornire nessun riferimento diretto, e reale, alla mia persona o al mio conto corrente.

Come riconoscere email phishing - guida anti-truffa

I siti fasulli

Questo è l’allegato scarica.html che abbiamo visto in una delle foto precedenti, la grafica ricorda quella del sito ufficiale delle Poste Italiane, anche tutti gli altri link presenti rimandano al sito originale, se però andiamo a salvare utenza e password scopriamo che non si tratta proprio del sito delle poste.

Come riconoscere email phishing - guida anti-truffa

Altro sito fasullo, privo di Https e relativo lucchetto, inizia per poste.it ma è seguito da un imprecisato numero di caratteri.

Come riconoscere email phishing - guida anti-truffa

Per fare un esempio, questo è l’indirizzo di uno dei tanti siti fasulli aperto in una campagna, piuttosto insistente, di phishing CartaBcc cartabcc.it.jxbihelo4xrwqsgjpseyu6gfmyoaz08i.x0qud207prtv0zfpr0dc6khiymixmgw0.fduj6ugkbz6aybqgak9vugdjsm75tt5z.wo9rje2kexlsorypcxbmtfwbis72m2r9.gqppvhp61hkiwzkj2xdwjfecbwetdztt.eeatuwksgtow5ynrsj2xetpayidb8nub.huahin-vikings.com/wpps/login.php. Ogni tre o quattro giorni arrivava una mail nuova con indirizzi sempre diversi.

Anche se il link mostrato nella mail vi sembra autentico, una volta cliccato potrebbe rimandarvi verso qualche altro indirizzo, passateci sopra con il mouse così da provare a visualizzare un eventuale indirizzo nascosto.

Potete anche provare a controllare se l’indirizzo del sito è segnalato come sicuro, o pericoloso, ma se si tratta di un sito Web nuovo potrebbe essere ancora sconosciuto alla maggior parte dei servizi di analisi.

Mettendo a confronto un sito fasullo con quello originale, come vedete, la differenza è minima se non fate caso all’indirizzo presente nella barra.

Come riconoscere email phishing - guida anti-truffa

Sito originale con Https e lucchetto per garantire un indirizzo sicuro.

Come riconoscere email phishing - guida anti-truffa

Una mail che mi era arrivata di recente, mi rimandava a questo sito fake (non molto curato dai phisher), attivo da due giorni, dove si notavano una curiosa serie di nomi italiani.

Come riconoscere email phishing - guida anti-truffa

Provando a navigare tra le varie cartelle del sito, cosa che non mi riesce quasi mai per quello ho definito il sito non molto curato, trovo un file di testo uzere.txt che conteneva moltissime utenze e password terribilmente credibili (non le ho provate per non incorrere in qualche guaio giudiziario). Questi phisher, in due giorni di “lavoro”, potevano così accedere a svariati account a causa dell’ingenuità di troppe persone.

Come riconoscere email phishing - guida anti-truffa

Come detto, si preferisce puntare a servizi bancari, postali o di carte di credito, ma non si disdegna qualsiasi altra cosa che possa portare a dati e informazioni riservate.

Come riconoscere email phishing - guida anti-truffa

Phishing "molto esigente" (Luglio 2017)

Per concludere un caso di phishing piuttosto recente e decisamente esigente in quanto a pretesa di dati da “rubare”. Si comincia con la solita mail indirizzata a un generico cliente PayPal e con delle motivazioni piuttosto confuse.

Come riconoscere email phishing - guida anti-truffa

Clicchiamo sul link e si arriva in un sito Https, con il lucchetto verde, quindi all’apparenza più sicuro di molti altri siti che ho visto in passato. Eseguo l’accesso inserendo dei dati casuali.

Come riconoscere email phishing - guida anti-truffa

E mi avvisa di una attività non autorizzata, sempre la stessa anche se accedevo più volte al sito con login diverse.

Come riconoscere email phishing - guida anti-truffa

E parte la richiesta di dati, anche qui inserisco valori a caso. Tutto molto curato ed esigente, però un minimo di controllo su quello che inserivo lo potevano anche mettere.

Come riconoscere email phishing - guida anti-truffa

Si procede ancora con altre informazioni richieste.

Come riconoscere email phishing - guida anti-truffa

E dopo aver svuotato la carta Paypal, vuoi non provare a richiedere le credenziali per accedere al conto corrente della banca.

Come riconoscere email phishing - guida anti-truffa

Per concludere vuole anche la fotocopia di un documento personale così da avere altri vostri dati personali.

Come riconoscere email phishing - guida anti-truffa

Abbiamo finito e l’account di “Chuck Norris” è finalmente ripristinato. Peccato che il conto corrente in banca e il credito della carta Paypal siano stati svuotati visto la quantità di dati personali che gli sono stati forniti.

Come riconoscere email phishing - guida anti-truffa

Conclusioni

Come evitare il phishing?

Prima o poi quasi tutte le persone hanno ricevuto un messaggio di questo tipo nella loro casella di posta, o in qualche social network, a cui partecipano. La prima difesa contro questi messaggi truffaldini parte proprio da noi non aprendoli, o non cliccando su nessun link presente al loro interno, non parliamo nemmeno di fornire dati riservati compilando qualche questionario nelle pagine fasulle o allegati ai messaggi di posta.

Come protezioni secondarie possiamo avere un buon antivirus, in grado di riconoscere e bloccare siti sospetti e malevoli, un browser aggiornato in grado di impedire l’accesso a siti pericolosi, se non vi basta ancora qualche estensione come BitDefender TrafficLight in grado di riconoscere ulteriori siti pericolosi. Se utilizzate un programma di posta elettronica potete provare ad aggiungervi un programma anti-spam per tenere lontani dal vostro computer molte mail potenzialmente pericolose.

Come riconoscere email phishing - guida anti-truffa

Se pensate di aver inserito i vostri dati in qualche pagina fasulla, verificate subito il vostro account online e, se non lo hanno già fatto i truffatori (per chiudervi fuori dal vostro servizio) cambiate la password d’accesso e, in caso, sporgete denuncia all’autorità giudiziaria, e al fornitore del servizio interessato, per la possibile truffa subita.

Potete consultare anche questo studio, realizzato da Google, per saperne di più sul fenomeno phishing.

Se vi volete esercitare a riconoscere un messaggio phishing, potete giocare con i test McAfee, Sonicwall e OpenDNS.