In questa pagina spieghiamo in breve come evitare di cadere nella trappola del phishing. Che cosa è il phishing, innanzitutto? In poche parole è il tentativo di ottenere i dati di accesso ad un conto online o più in generale le informazioni personali, perpetrato tramite posta elettronica con messaggi ad hoc, ingannevoli.

Come difendersi? Come evitare di cadere nella trappola del phishing?

Ecco qui di seguito alcuni suggerimenti che vi aiuteranno a capire se l’email che avete ricevuto si tratta di phishing o meno.

Relazione col mittente

In rete stanno girando già da tempo messaggi provenienti da banche, poste, siti di commercio elettronico. I truffatori hanno pensato bene di utilizzare enti e aziende famosi, enti e aziende, quindi, che hanno un elevato numero di utenti e clienti. In questo modo, spedendo messaggi email a caso, non è assolutamente improbabile fare centro, avere spedito, cioè, il messaggio-truffa alla persona giusta.
Riceviamo quasi ogni giorno email provenienti da Unicredit, da Poste Italiane, da Ebay.
In che rapporti siamo con questi signori? Abbiamo un conto su Unicredit? No? Allora non vale nemmeno la pena di leggere quel messaggio. Stesso discorso per Poste Italiane ed Ebay, e qualsiasi altro ente o qualsivoglia azienda.

Email di provenienza

Leggete attentamente l’email di provenienza di questi messaggi. Non importa se il nome utente visualizzato sia Poste Italiane o Ebay. Chiunque, nelle opzioni di posta elettronica del suo programma, può cambiare in un attimo il nome utente da far visualizzare al ricevimento dei messaggi.
Le email utilizzate sono le più disparate: cliente@posteitaliane.it, service@unicredit.it, servizio@bancodisicilia.it, BPOL@bancopostaonline.poste.it, polizia@postale.it, ecc.
Nel caso di Poste Italiane, ad esempio, sono stati utilizzati i domini posteitaliane.it, bancopostaonline.poste.it e postale.it, tutti NON attivati da Poste Italiane (posteitaliane.it vi reindirizza su poste.it). In alcuni casi il dominio a cui fa riferimento l’email può essere corretto. In questi casi bisogna fare attenzione agli altri punti di questa guida da tenere in considerazione.

Email del destinatario

Il destinatario siete voi. Se avete più di un indirizzo di posta elettronica, controllate bene a quale di essi è stato inviato il messaggio. I truffatori possono scrivere a qualsiasi vostra casella di posta elettronica, spesso usano le email di siti aziendali e di liberi professionisti, per superare l’antispam, ma in genere sparano a caso, nella speranza che l’ingenuo abbocchi.
Se voi avete un conto presso Poste Italiane o Unicredit, o altra banca, quale indirizzo di posta elettronica avete utilizzato per contattarli? Se avete utilizzato un’email gratuita, come la gmail ad esempio, e NON quella aziendale, come fa la vostra banca o le Poste a conoscere quell’indirizzo di posta?
Non perdete tempo a trovare una risposta e cestinate il messaggio.

Oggetto del messaggio

Gli oggetti dei messaggi di phishing ci dovrebbero aprire subito gli occhi. Viene usata ben poca fantasia, e di conseguenza ben poca credibilità, nel redigerli.
Ecco alcuni esempi: Unicredit – Messagio, Nell’ambito delle misure di sicurezza da noi adottate, Riattiva imediatamente il tuo conto, Mondo BancoPosta ti premia con un bonus di fedeltà !, Gentile Cliente, Caro Cliente, ecc.
Se alcuni di essi possono trarre in inganno, altri sono troppo “generici” per perderci tempo sopra nel leggerne i messaggi, altri ancora contengono errori di italiano.
Scartate a priori i messaggi con oggetti “sospetti”. Per gli altri valgono le considerazioni fatte sopra e quelle seguenti.

Testo del messaggio

Il testo dei messaggi di phishing rappresenta la parte più delicata dell’intera operazione di truffa a vostro danno. Ma, allo stesso tempo, contiene, alcune volte in maniera perfino plateale, uno stile, per così dire, che ci svela immediatamente o quasi la vera natura di quel messaggio.
Stiamo parlando pur sempre di email commerciali. Una banca, un ente, che ci scrive utilizzerà un testo corretto, un testo ortograficamente, grammaticalmente e sintatticamente corretto.
Quasi sempre questi messaggi contengono errori, frasi sgrammaticate, anche incomprensibili. Si tratta magari di testi tradotti male, forse utilizzando traduttori online.
Leggete attentamente questi testi e, in caso, sapete già cosa farne: spedirli nella cartella dello spam.

Link nel messaggio

I link all’interno del messaggio sono l’arma micidiale costruita per colpirvi. NON cliccate su nessun link, per nessuna ragione al mondo. E, nel caso trovaste una ragione per cliccarci, NON cliccateci lo stesso.
I link sono mascherati. Che cosa è un link? E’ un collegamento ipertestuale. In questi messaggi email è un’ancora che collega una parola o una frase alla pagina di un sito.
Basta andare sopra al link col cursore del mouse, se avete scaricato la posta da un programma, per vedere dove punta. Se leggete la posta online, dal sito del provider, vi basta cliccare col tasto destro del mouse sul link e scegliere Copia indirizzo (se utilizzate Firefox) o Copia collegamento (se utilizzate Internet Explorer). Vi basterà poi incollarlo su un documento di testo e vedere la reale natura di quel link.
I link a cui sareste stati indirizzati sono di questo tipo:

  • http://qsy.net/jboard/data/login-home.fcc/
  • http://www.qsy.net/jbnboard/data/www.poste.it/
  • http://bancopostaonline.mify.net/entra.php
  • http://www.kafela.ru/!/readme.htm
  • http://a80-126-177-252.adsl.xs4all.nl/index1.php

e tanti altri link a pagine create appositamente per impossessarsi delle vostre informazioni personali, come dati di conto corrente.

Il sito di atterraggio

I manager del phishing riescono a creare siti di atterraggio identici a quelli delle banche o delle Poste italiane. In questo modo l’ignaro ed inesperto navigatore ci può cascare facilmente. Non ci vuole molto a creare una pagina identica, ad esempio, alla home page del sito di Poste italiane: basta copiarne il codice HTML. Si crea cioè una pagina che richiama tutti gli oggetti presenti nel sito delle poste, ossia gli elementi grafici e gli stili del testo. Soltanto i campi in cui inserire nome utente e password sono “riscritti” ed in modo da “catturarli” ed impossessarsene.
Ma come riconoscere questi falsi siti?
In primo luogo dalla url, ossia dall’indirizzo web che leggete sulla barra del vostro browser. Sarà un indirizzo del tipo mostrato nel paragrafo precedente.
In secondo luogo nel sito, ad esempio, delle Poste italiane, trovate il simbolo del lucchetto, che certifica che i dati immessi in quel sito sono protetti.

Il phishing, a quanto avrete capito, si può evitare.
Come l’AIDS: se lo conosci, lo eviti.