mail phishingLo spam ricevuto questa mattina non ha niente di particolarmente originale, questo il corpo della mail:

La cassetta postale ha superato il limite di archiviazione che è da 20GB come indicato dall’amministratore, è attualmente in esecuzione su 20.9GB, potresti non essere in grado di inviare o ricevere nuovi messaggi fino a quando non ri-convalidare la vostra cassetta postale. Per ri-convalidare la vostra casella di posta elettronica: CLICCA QUI
grazie
amministratore di sistema

Cliccando sul link si viene rimandati a una pagina fraudolenta, l’immagine allegata in questo post è una cattura di quella schermata. Torno a ripetere che da un punto di vista tecnico non c’era niente di originale, la paginetta era hostata su wix ma anche questa non è una novità: agli spammer fa comodo poter confezionare in pochi minuti una paginetta come questa, meglio ancora se su un livello inferiore di un dominio credibile.

Quello che mi ha colpito è stata l’osservazione fatta da un amico cui stavo spiegando il meccanismo di funzionamento di questa operazione di phishing. Si tratta di un ingegnere, una persona in gamba e troppo maturo per essere ancora in preda dell’impulsività e dell’incoscienza adolescenziale ma non abbastanza vecchio per essere considerato un dinosauro rincoglionito e impermeabile alla tecnologia. Le sue parole mi hanno steso perchè, ha detto

anche se mi fregano la password della email non ho niente da nascondere

Non è la prima volta che sento dire una cosa del genere e mi fa venire i brividi. Trovo intollerabile che un ente governativo possa ficcare il naso nella mia casella di posta elettronica (se non con eccezionali motivazioni), figuriamoci se lo fa uno sconosciuto con sicure intenzioni fraudolente. Visto che ho fatto fatica a far passare il concetto mi limito a fare due esempi, giusto due ma potrei preparare un elenco interminabili, di potenziali problemi in caso di furto delle credenziali di accesso alla posta elettronica.

Una casella per domarle tutte

La casella di posta elettronica principale è la chiave che apre tutte le porte. A quanti servizi site iscritti? Quanti di questi prevedono una procedura in caso di “password dimenticata”? Una malintenzionato che riesca a mettere le mani sulla vostra e-mail principale, con un po’ di tempo a disposizione, potrebbe accedere a tutti i servizi online, fare shopping usando le vostre credenziali. Magari ha voglia di sentirsi un po’ di musica, nessun problema, può usare il vostro account sull’apple store. Ha voglia di leggere: Ecco pronte le credenziali di amazon. Vuole curiosare sul vostro estratto conto? Password dimenticata e il gioco è fatto.
Da notare che questo può succedere durante il fine settimana o mentre voi siete in ferie. Se avete staccato dal lavoro e non controllate la posta elettronica il truffatore potrebbe avere molto tempo a disposizione!

Richiesta di aiuto

Questo caso, purtroppo, è già successo. Immaginate di ricevere una richiesta di aiuto da parte di un amico. Vi scrive dalla sua email, gli hanno rubato il cellulare, è in vacanza, è in difficoltà. Gli hanno rubato il portafogli, vi chiede di fargli un bonifico per comprare il biglietto dell’aereo, si trova all’estero in vacanza e con il furto del bagaglio ha perso anche il biglietto per rientrare.

Fantascienza? Niente affatto, sono cose già successe. Cercate di fare in modo che non capitino a voi, a vostri parenti od amici. Non sottovalutate i truffatori e l’importanza di una buona password.