Come riconoscere email truffa o phishing

Share on FacebookTweet about this on TwitterPin on PinterestShare on Google+Share on LinkedIn

Chi di voi non ha ricevuto, negli scorsi giorni, un’email minacciosa che sembrava provenire dal proprio indirizzo email e che vi informava che il Vostro indirizzo email era stato hackerato e chi che scriveva sapeva fatti segreti su di voi che sarebbero venuti a galla se non aveste pagato 300,00$ in bitcoin?
Chi di voi leggendo non ha avuto un momento di panico?
Quel giorno la nostra assistenza ha ricevuto telefonate e messaggi di utenti intimoriti dal fatto che realmente qualcuno avesse potuto violare i server aziendali. L’email, in molti casi non è stata contrassegnata come SPAM, non è andata nella posta insediderata ed è stata aperta da tutti coloro che l’hanno ricevuta.
Possiamo prendere spunto dal testo di questa email per cercare di riconoscere le email di spam o di phishing. E’ importante riuscire a raggiungere questo obiettivo per evitare di cadere nella trappola e mettere in pericolo la sicurezza dei nostri dati. Infatti, secondo il report 2018 Data Breach Investigations della Verizon, il 49% dei malware sono installati via email. Questo avviene poiché sul lavoro la maggior parte delle persone non è in grado di identificare le email di phishing, cioè le email con cui gli hacker richiedono di effettuare un’azione, che spesso consiste nel cliccare su un link e inserire password di accesso. Quest’azione può creare dei danni importanti ai sistemi informativi aziendali che vanno dalla cancellazione di dati, all’invio di email incontrollato, alla creazione di instabilità nei sistemi. Questo click infatti in genere causa l’installazione di software dannoso per i sistemi, che nella maggior parte dei casi viene bloccato da un antivirus aggiornato, ma non sempre …
Vediamo innanzitutto quali siano le caratteristiche principali di un’email potenzialmente dannosa. In seguito proviamo ad applicare queste caratteristiche all’email ricevuta in questi giorni.
1. Indirizzo di provenienza finto o non comune , ad esempio che termina con .co o .ca al posto di .com o non conosciuto.
2. L’email contiene loghi che a prima vista sono molto simili a quelli originali, ma che ad un esame attento risultano diversi.
3. Il messaggio contiene un saluto generico, non personalizzato, del tipo, “caro utente” e non, ad esempio, “Cara Giulia”
4. In genere il testo appare sgrammaticato o contiene vari errori grammaticali.
5. Il messaggio tende ad infondere un senso di urgenza e spinge a fare un’azione con urgenza. L’azione può essere quella di cliccare un link, di aprire un allegato, di inserire informazioni personali, come dati di accesso bancari o password, di pagare un importo.
6. Presenza di un link da cliccare che differisce se ci si sofferma sopra con il mouse da quanto indicato nel testo. Il link riporta ad un sito che potrebbe essere non sicuro. Questo è riconoscibile dalla presenza del solo http all’inizio dell’indirizzo. Sono considerati certamente sicuri i siti con certificato https (iniziano con https)
7. Presenza di un allegato, spesso in formato .zip

Il testo dell’email ricevuta è il seguente:

Ciao, caro utente di aramx.com.
Abbiamo installato un trojan di accesso remoto sul tuo dispositivo.
Per il momento il tuo account email è hackerato (vedi , ora ho accesso ai tuoi account).
Ho scaricato tutte le informazioni riservate dal tuo sistema e ho anche altre prove.
La cosa più interessante che ho scoperto sono i video dove tu masturbi.

Avevo incorporato un virus sul sito porno dopo di che tu l’hai installato sul tuo sistema operativo.
Quando hai cliccato su Play di un video porno, in quel momento il tuo dispositivo ha scaricato il mio trojan.
Dopo l’installazione la tua camera frontale ti filma ogni volta che tu masturbi, in più il software è sincronizzato con video che tu scegli.

Per il momento il software ha raccolto tutte le informazioni sui tuoi contatti dalle reti sociali e tutti gli indirizzi email.
Se tu vuoi che io cancelli tutti i dati raccolti, devi trasferirmi $300 in BTC (criptovaluta).
Questo è il mio portafoglio Bitcoin: 1CSsVgPgwTNLGgQCHRBPa7ZNH7oxK9cf2k
Una volta letta questa comunicazione hai 2 giorni a disposizione.

Appena hai provveduto alla transazione tutti i tuoi dati saranno cancellati.
Altrimenti manderò i video con le tue birichinate a tutti i tuoi colleghi e amici!!!

E da ora in poi stai più attento!
Per favore, visita solo siti sicuri!
Ciao!

Questa email si discosta un po’ da quelle di spam che i sistemi sono abituati a ricevere.
Il punto 1, cioè la provenienza, non è applicabile. L’email infatti sembra provenire proprio dal tuo indirizzo email. Quando la ricevi sembra provenire proprio dalla tua casella di posta. E’ possibile inviare email con il sender uguale al destinatario …
L’oggetto dice : “il tuo account è stato hackerato” e null’altro. Questo ti porta ad aprire il messaggio per capire come mai il tuo account di posta riporti un messaggio del genere. Sembra proprio provenire dal tuo server di posta.
Il punto 2. non lo consideriamo in quanto non ci sono immagini di loghi.
Il punto 3. è chiaramente applicabile. L’email contiene un saluto generico, potrebbe essere indirizzata a chiunque. Essa infatti dice “Ciao, caro utente di aramx.com”. L’unica informazione personalizzata è quella del dominio aramx.com, che è un’informazione ricavabile dall’indirizzo email al quale viene spedita.
Punto 4. Il testo appare abbastanza fluido e senza grossi errori grammaticali. Gli errori ci sono ma si notano poco.
Punto 5. Nel messaggio viene portato avanti un ricatto basato sul fatto che sono state sottratte le tue informazioni personali ed è stato installato un trojan sul tuo dispositivo che ti registra mentre ti masturbi. Il ricatto è che se non paghi una certa cifra entro 2 giorni queste informazioni (che il testo definisce birichinate) verranno diffuse a tutti i tuoi contatti. Non si capisce in che modo tu possa dimostrare che hai pagato e quindi fermare questi presunti hacker. In genere quando si effettua un pagamento occorre esibire un documento che comprovi che la cifra è stata versata.
Per quanto riguarda i punti 6 e 7 l’email non contiene allegati né link, ed è per questo motivo che il messaggio ha passato la maggior parte dei sistemi di controllo antispam dei server di posta.
Quindi niente panico, l’email è senz’altro sospetta perché contiene alcuni elementi che la identificano come phishing. E soprattutto quando qualcuno ci chiede denaro o di inserire dati di accesso riservati dobbiamo attivare tutti i nostri campanelli di allarme.
Se non siamo ancora certi possiamo effettuare una ricerca su internet per vedere se qualcuno ne parla ed infine cercare sui siti che smascherano le bufale, come bufale.net. Se non trovi nulla effettua una ricerca con il filtro data recente
Io ad esempio ho inserito questa chiave di ricerca:
spam “Abbiamo installato un trojan di accesso remoto sul tuo dispositivo.” (nota: il testo tra virgolette include nella ricerca solo articoli che contengono il testo esatto con la frase esatta e non solo le parole in ordine sparso).
Ed ho subito trovato questo:

email truffa o phishing

Già leggendo i primi articoli capisco di essere stata vittima di un’email di phishing, con la quale volevano sottrarmi denaro. E pare proprio che alcune persone abbiano pagato. L’email infatti è stata inviata per vari giorni ed anche in lingue diverse. Il portafoglio in bitcoin indicato è aumentato man mano.
Quindi ricorda: quando ricevi un’email di questo tipo prima di aprire allegati, cliccare link, inserire credenziali o pagare effettua tutti i passaggi elencati e ricerca in internet!
Spero di esserti stata utile. Se hai trovato l’articolo interessante condividilo con i tuoi contatti, aiuterai qualcuno a diffondere sana informazione e a combattere l’illegalità sulla rete.

Se vuoi approfondire l’argomento:

bufale e notizie false (fake news)
Ransomware