E-mail truffa come proteggersi

E-mail truffa come proteggersi

Gli anni passano, ma l’interesse dei criminali informatici nei confronti delle caselle email non accenna a ridursi. Anzi, i tentativi di truffa attraverso l’invio di e-mail si moltiplicano, aumentando le probabilità di ritrovarsi con l’email hackerata nella migliore delle ipotesi.

Questo articolo ha l’obiettivo di fornire una guida per comprendere meglio questi fenomeni e, soprattutto, spiegare come mantenere al sicuro la propria casella di posta elettronica.

Il presupposto iniziale da cui partire è che è possibile, anche in modo abbastanza semplice, simulare qualsiasi mittente email, ma anche inviare email ai contatti di una casella di posta rubata.

In seguito a questo dato di fatto si rischia di trovare la propria casella e-mail popolata di messaggi, all’apparenza affidabili ma che tali non sono.

Proprio per evitare questo sono nate le caselle PEC, caselle di posta elettronica certificata, dove un ente certificatore emette un certificato che qualifica l’email inviata e ricevuta come autentica.

Tuttavia anche le caselle di posta PEC possono essere pericolose qualora si abiliti la recezione di posta elettronica da caselle non PEC, cosa sconsigliabile e senza senso, che di base è sempre disabilitata.

Vediamo velocemente le due situazioni più comuni in cui ci si può trovare.

La più classica è quella comunemente nota come phishing, il termine non è casualmente simile al fishing, la pesca, perché il principio è proprio quello, si simula qualcuno come mittente, una banca, un provider, le poste e così via, mandando un messaggio in modo massivo al fine di “pescare” qualcuno che abboccando clicchi sui link presenti in email, trovandosi davanti a un sito gemello di quello originale che ruba le informazioni inserite dal malcapitato, password , numero di carta di credito ecc.

Quella meno classica, ma non meno grave, è quella in cui si chiede di aprire un allegato, avvalorando la cosa con una denominazione tipo fattura, ingiunzione di pagamento e così via.

In genere l’allegato è di tipo file compresso (.zip, .rar, ecc ) protetto da password (comunicata con tanta cortesia nel corpo email) .

La motivazione è semplice, risiede nel fatto che gli antivirus che proteggono il flusso mail non possono scansionare il contenuto di un file compresso protetto da password e quindi non filtrano la mail.

Una volta decompressa, in presenza di un antivirus locale efficiente, nel momento dell’apertura il file malevolo dovrebbe essere segnalato, ma viene da se che molti utenti non dispongono di antivirus, oppure non lo aggiornano dal dopoguerra e vengono colti in fallo.

Un allegato malevolo eseguito può fare qualunque tipo di danno, partendo dal più banale, ovvero installazione di codice produttore di spam, passando per furto di dati, per finire alla famigerata criptazione dei dati con tanto di richiesta di riscatto pecuniario (a cifre non contenute e senza nessuna garanzia di successo)

Come difendersi

 Passiamo a qualche consiglio per difendersi.

Riconoscere l’autenticità di un mittente è un’operazione più o meno semplice a seconda del sistema da dove viene letta la posta elettronica.

In primo luogo bisogna prestare attenzione a:

Oggetto del Messaggio: caratteri strani e errori grammaticali sono spesso presenti nelle email fraudolente, come pure tono di comunicazione strano, simile a quello di uno straniero che prova a parlare italiano.

Indirizzo Email del Mittente: controllare sempre l’indirizzo effettivo, non solo il nome che può essere modificato a piacere. Se non corrisponde esattamente al sito ufficiale dell’azienda, è probabile che si tratti di una truffa.

Verificare  il reale mittente di una mail può essere fatto visualizzando il sorgente del messaggio. La procedura varia a seconda del client di posta utilizzato:

• Thunderbird: Visualizza > Sorgente del Messaggio (Ctrl+U)
• Mail di Apple: Vedi > Messaggio > Fonte grezza (Command + Option + U)
• Gmail: Cliccare sui 3 puntini verticali e poi su “Mostra Originale”

In sintesi c’è sempre una procedura per verificare se il mittente è reale o simulato.

In secondo luogo, bisogna controllare i link prima di cliccare, basta passarci sopra con il mouse per vedere il reale indirizzo a cui puntano, ad esempio può esserci un testo poste.it con un collegamento a tutt’altro dove probabilmente ci sarà un bel sito clone.

Diffidare assolutamente di email con allegati compressi e protetti da password, aprirli è come saltare da un ponte sperando di sopravvivere.

Consideriamo poi che i messaggi non tarocchi di aziende e servizi vari non chiedono mai agli utenti di fornire dati a mezzo email (tantomeno per telefono) di cui tra l’altro non hanno bisogno essendone i detentori.

Meglio essere paranoici che leggeri, diffidare anche di email dal miglior amico se l’invio non è concordato, gli amici chiamano non scrivono in genere, oltretutto spesso i codici malevoli che invadono una casella email rubano i contatti e cercano attraverso questa di inviare agli stessi con una certa credibilità. Quindi seppure il mittente fosse un amico potrebbe aver inviato involontariamente perché infetto.

Difendiamo tutti gli accessi più importanti con autenticazione a due fattori (un sistema in cui prima di entrare inserendo le credenziali si richiede la verifica tramite l’interazione con un secondo dispositivo) e con password complesse (se si mette il nome della squadra del cuore come password, non sono loro a essere grandi hacker .. ) .

Mi rendo conto che risulta poco agevole ricordare password complesse e fare più passaggi di verifica per accedere a un servizio, ma può essere l’ultima scialuppa di salvataggio.

Se si utilizza una PEC, non abilitare mai la ricezione di email da caselle non PEC, non ha senso ed è pericoloso, lo scopo della PEC è certificare la comunicazione tramite la sicurezza del mittente e del destinatario, se uno dei due viene meno cade ogni certezza.

Tenere un antivirus sempre attivo e aggiornato che verifichi sia l’ingresso mail, sia l’apertura di allegati malevoli è cosa buona e giusta fonte di salvezza.

Ultimo consiglio, per evitare il disastro, ricordarsi sempre che il principio base è tenere i dati importanti almeno in due posti, il maledetto backup che nessuno fa.