Phishing via email: come difendersi dall’ingegneria sociale?

Il phishing via email è una delle truffe più gettonate su Internet: per un malfattore, fare phishing comporta pochi rischi (o praticamente nessuno). Mentre le possibilità di guadagnare qualcosa sono molto elevate. Il phishing via email, ma anche nelle sue forme evolute via chiamata telefonica (vishing) oppure tramite messaggio (smishing), viene usato per:

• Sottrarre dati personali agli utenti (che verranno poi rivenduti a terzi)
• Rubare l’accesso agli account dell’home banking o dei siti di e-commerce
• Compiere dei furti di identità
• Ottenere del denaro dopo aver fatto cadere l’utente in una truffa
• Installare del malware, adware o ransomware sul computer dell’utente

Spesso il phishing via email viene sottovalutato dalla maggior parte delle persone (e molti italiani non sanno nemmeno come difendersi dal phishing). Eppure si tratta di uno dei reati online più in aumento degli ultimi anni: solo nel 2020 sono state segnalate circa 98.000 truffe online!

Ma come possiamo difenderci? Fortunatamente, il phishing si basa su una serie di tecniche di ingegneria sociale facilmente riconoscibili in quasi tutti i casi di phishing via email e non solo. Vediamo insieme quindi quali sono gli “attrezzi del mestiere” che i malfattori usano nelle email di phishing per truffare gli utenti

Il senso di urgenza è la leva principale

Quando c’è un’urgenza, il nostro cervello va in tilt e ci può portare a prendere scelte avventate. I malfattori della rete lo sanno bene ed è per questo che il phishing via email, ma anche lo smishing, si affida tantissimo al senso di urgenza. Per esempio, hai mai ricevuto email di questo genere:

• La segnalazione di una transazione sospetta sulla tua carta Postepay o sul tuo conto corrente
• La comunicazione di un accesso sospetto a un tuo account per un sito di e-commerce, tipo Amazon o eBay
• L’arrivo di una diffida da qualche ente (INPS, Equitalia, Enel o altro fornitore di energia) che ti richiede di pagare immediatamente qualcosa
• Ma anche la comunicazione di una vincita a un concorso online dove ti viene chiesto di confermare subito i tuoi dati per non perdere il diritto al premio

Molte persone cascano in questi casi di phishing via email (e se ti è successo anche a te, scopri cosa fare dopo essere stato vittima di phishing). Tutti gli esempi qui sopra hanno in comune il senso di urgenza che i malfattori vogliono instillare nel lettore.

L’obiettivo iniziale di queste email di phishing è quello di catturare l’attenzione fra il mare di email che ognuno di noi riceve ogni giorno. In tal modo, ci sentiamo quasi costretti ad aprire l’email per leggere di cosa si tratta e cercare di capire l’entità del problema.

Sfortunatamente, non aiuta poi il fatto che i malfattori spesso prendano di mira servizi molto comuni e usati da tante persone: grossi e-commerce come Amazon, Zalando e eBay; società come Tim, Vodafone, Wind, Enel, Acea; istituzioni come l’INPS o banche e servizi finanziari come Postepay e Unicredit. Il motivo è semplice: più è famoso e usato il servizio, più possibilità ci sono che il destinatario dell’email di phishing possieda un account presso quel servizio (e che quindi, leggendo l’email, si faccia prendere dal panico).

Come disinnescare il senso di urgenza delle email di phishing? Basta una telefonata.

Contatta direttamente il servizio che viene citato nell’email sospetta per chiedere se è vero ciò che hai appena letto nell’email ricevuta. Se si stratta di phishing, l’agente del servizio clienti con cui stai parlando ti informerà subito che si tratta di una truffa, evitandoti così di diventare l’ennesima vittima del phishing.

Stuzzicare gli istinti umani: la promessa dell’eterna ricchezza

Alla domanda se vuoi diventare ricco per smettere di lavorare, la risposta è praticamente scontata: un sogno che si avvera. Tutti noi siamo ben coscienti che, appunto, si tratta di un sogno. Ma la tentazione di scoprire un modo per diventare ricchi rapidamente (e senza sforzi), è un altro cavallo di troia che i malfattori usano nelle loro email di phishing e non solo.

Eppure, basterebbe solo del buonsenso per rimanere con i piedi sulla terra. Buonsenso che dovrebbe sempre essere usato quando si naviga su Internet, proprio come afferma Harold Li, vicepresidente di ExpressVPN, la VPN più veloce in Italia:

“La maggior parte degli utenti ancora non sa bene come difendere i propri dati online, così come la propria privacy. Motivo per cui molte persone continuato a esporre le proprie informazioni sensibili a grossi rischi quando navigano sulla rete. In un mondo sempre più connesso, tutti noi dovremmo fare tutto il possibile per la sicurezza dei nostri dati e privacy.”

Nonostante ciò, le truffe legate ai metodi per guadagnare online infestano la rete da sempre. E spesso il tema della ricchezza viene usato anche per il phishing.

• Ricevi un SMS che ti chiede se vuoi investire in un titolo azionario per guadagnare migliaia di euro
• In un’email ti viene proposto un metodo per guadagnare online scoperto da poco e rimasto segreto finora
• Un video su Youtube parla di un modo per diventare ricchi che rivoluzionerà la tua vita in poche settimane
• Ricevi una chiamata da una fantomatica agenzia di trading online che ti chiede se vuoi guadagnare uno stipendio extra lavorando poche ore a settimana

E i casi potrebbero andare avanti all’infinito. Ma il copione rimane sempre lo stesso: i malfattori fanno leva sulla tua voglia di guadagnare denaro. Ti mettono su un piatto d’argento (o meglio dire d’oro) la possibilità che hai sempre voluto avere: un modo semplice, facile e che non richiede esperienze pregresse.

Basta che tu segua alla lettera ciò che ti viene detto nell’email di phishing, nella chiamata telefonica sospetta oppure nello strano video trovato su Youtube. Peccato però che non diventerai ricco, ma probabilmente scaricherai un malware sul tuo computer (un tipo di attacco in costante aumento nel 2020).

Quando ti trovi davanti a casi del genere, per smontare il tentativo di phishing chiediti queste tre domande:

• La persona che mi ha contattato è un completo sconosciuto? Come ha fatto ad avere il mio numero di telefono o indirizzo email?
• Se questo modo per guadagnare ha così successo, perché non lo fanno già tutti piuttosto che lavorare?
• E infine: se accetto un consiglio in ambito finanziario da un completo estraneo, perché poi non vado a chiedere come investire i miei soldi al barista sotto casa?

Se le prime due domande sono logiche, la terza è quella che più ti spiazza: ma che proprio per questo motivo ti devi porre. La terza domanda serve proprio a riportarti con i piedi per terra. Se accetti un consiglio su come investire da un completo sconosciuto, allora tanto vale davvero poi scendere al bar sotto casa e consegnare i tuoi risparmi al barista, chiedendogli di investirli al posto tuo.

Totalmente senza senso, vero? Proprio come senza senso sono questi tentativi di phishing in cui potresti imbatterti.

Empatia e paura come bastone e carota

Come abbiamo visto, il buonsenso e la lucidità sono fondamentali per non cascare nei tentativi di phishing via email, telefono o SMS. Oltre a ciò, spesso ci vengono in aiuto anche dei software come il buon vecchio antivirus (da avere sempre aggiornato) e anche un buon filtro antispam per il proprio indirizzo email. Anche una VPN per Internet può essere di grande aiuto a volte.

Ma la VPN cos’è e come funziona? SI tratta di una rete privata virtuale, un servizio attivabile in un click sul proprio PC o telefono (basta scaricare e installare l’app). Grazie alla crittografia AES a 256 bit, una rete VPN serve a proteggere i dati personali, la connessione e garantisce anche l’anonimato in rete (si può infatti cambiare anche indirizzo IP e posizione geografica).

Però anche se prendiamo tutte queste misure di sicurezza aggiuntive, bisogna sempre usare la testa per difendersi dal phishing via email. A volte, infatti, il phishing può essere molto brutale e diretto. Infatti, in alcuni casi i malfattori vanno proprio a fare leva sulle nostre paure.

Un caso di phishing che sta andando molto di questi tempi è il seguente: ricevi un’email da un contatto sconosciuto, dove c’è scritto che sei stato registrato tramite la tua webcam mentre navighi su alcuni siti per adulti. Se non vuoi che il video venga condiviso con tutti i contatti della tua rubrica email, allora devi pagare un riscatto al malfattore.

La paura viene usata anche in altri casi di phishing, dove il malfattore minaccia l’utente di condividere video privati o informazioni sensibili con altre persone (ma anche magari dati di lavoro, che potrebbero compromettere la posizione lavorativa della vittima del phishing).

Non solo paura, perché il phishing può fare leva anche sull’empatia. Per esempio:

• Potresti ricevere email di phishing dove i malfattori si spacciano per associazioni onlus o di volontariato
• Su Whatsapp o Facebook potrebbe arrivarti un messaggio per la raccolta fondi per aiutare qualcuno (come per pagare l’intervento a un bambino)
• Una persona conosciuta su un qualche sito di incontri online potrebbe iniziare a chiederti del denaro per pagare qualche spesa a casa (facendo leva sui tuoi sentimenti)

Le truffe che fanno leva sull’empatia non si limitano solo al phishing. Per esempio, in un recente ransomware, i malfattori si spacciavano per un gruppo di hacker siriani. Affermavano di avere bisogno di soldi per comprare medicine e cibo per la popolazione di alcuni villaggi colpiti dalla guerra. L’ennesima strategia per addolcire “la pillola” del pagamento del riscatto richiesto agli utenti vittima del ransomware in questione.