Come riconoscere un messaggio di phishing prima di cascarci

Le caselle email sono un mondo caotico. È facile perdersi tra newsletter, email promozionali non richieste, bollette digitali e notifiche dei social. E lo stesso vale per i DM su Instagram e altre piattaforme, dove chiunque può contattarti se non hai impostazioni della privacy rigide. Tra quelle email e quei messaggi ci sono anche truffe—come quelle dei ricchi principi di paesi stranieri disposti a lasciarti in dono un’eredità—o veri e propri attacchi informatici che cercano di rubare password, username, o informazioni bancarie: si tratta delle email di phishing.

Il phishing è uno strumento sempre più utilizzato perché permette a criminali informatici di ottenere informazioni senza prima “hackerare” in senso stretto il dispositivo di un utente, ma sfruttando tecniche di ingegneria sociale—ovvero facendogli credere che la comunicazione ricevuta sia legittima e facendo leva, solitamente, su un senso di urgenza.

Facciamo un esempio: ricevi un’email che sembra inviata da Instagram e che chiede di controllare subito la sicurezza del tuo account perché c’è stato un accesso non autorizzato. Il link incluso nella mail conduce a un sito che, all’apparenza, ricorda in tutto e per tutto quello ufficiale, ma quando inserisci le credenziali di accesso le stai in realtà consegnando al criminale.

La gravità del phishing è legata a una stortura del mondo digitale: le email sono diventate di fatto lo strumento principale per accedere ai servizi online. Quando fai l’iscrizione a un social network molto spesso usi l’email. Lo stesso vale per altro: negozi online, portali medici, carte fedeltà del benzinaio e via dicendo. La tua vita digitale (e non) passa per le email. I criminali informatici raccolgono dai vari data breach online milioni di email e costruiscono così database dove andare a pesca: la parola phishing infatti nasce come storpiatura del verbo inglese fishing, pescare. 

La regola d’oro da seguire per difendersi da questi attacchi è: non cliccare nessun link, apri un browser e digita direttamente lì l’indirizzo web ufficiale di chi ti ha contattato. Se l’email è autentica, troverai sicuramente anche sul sito le stesse informazioni. 

In ogni caso, ecco una guida su come riconoscere gli attacchi di phishing.

Le email di phishing sono comunissime e, soprattutto, sono spesso curate nei minimi dettagli grafici per farti cadere in trappola. Non ha senso sentirsi in colpa se succede: hai subito un attacco. Allo stesso modo, farsi beffe di qualcuno che ha abboccato alla trappola è una forma di victim blaming—che è sempre tossico e soprattutto completamente inutile alla soluzione del problema. 

Può davvero capitare a chiunque, anche a chi pensa di essere immune a questo tipo di trappole. Bisogna partire dal presupposto che siamo abituati a cliccare i link. Sono lì per un motivo. Apri link da ogni dispositivo in ogni momento della giornata e in ogni situazione: distrattamente mentre stai leggendo un libro, mentre stai scendendo dalla metropolitana o da un bus, quando stai cucinando o parlando con un’altra persona. Senza contare che inserire le proprie credenziali (email o username e password) ovunque è diventato un automatismo.

Controllare l’indirizzo email del mittente non è una misura sempre sufficiente per capire se si tratta di phishing, tranne quando è palesemente strano (se usi ancora l’account hotmail “avril18kikko” di quando eri adolescente, forse è la ragione per cui nessuno ti risponde alle email). Controlla sempre, comunque, cosa appare ad esempio dopo la @: indirizzi come @support-international-facebook.com non sono autentici, ma traggono in inganno facilmente.

In alcuni casi, però, email legittime sono state inviate con indirizzi sospetti. Ad esempio, nel 2018 Google ha inviato un avviso di sicurezza che sembrava provenire da uno strano indirizzo—e persino esperti di sicurezza informatica sono rimasti confusi.

Se l’indirizzo email sembra legittimo non puoi considerarla come una prova sufficiente che sia tutto a posto. È facilissimo mascherare il mittente delle email con tecniche di spoofing—come d’altronde chiunque può scrivere un mittente a piacere sulla busta delle lettere inviate per posta. 

Chi mastica un po’ di sicurezza informatica sa come ispezionare i dettagli dell’email e controllare i server che l’hanno inviata. Ma è chiaramente una cosa che l’utente medio non farebbe—men che meno da smartphone mentre sta camminando per strada.

Nonostante esistano malware che agiscono completamente in remoto senza richiedere interazioni da parte dell’utente per funzionare (detti anche “zero-click”), si tratta di attacchi molto costosi e rari che non vengono usati su chiunque; se parliamo di phishing, il solo aprire una mail sospetta (senza cliccare sui link o scaricare gli allegati che contiene) non è, in linea di massima, sufficiente per far andare a segno l’attacco. Se hai aperto una mail sospetta per errore, insomma, sei probabilmente ancora in tempo per evitare il peggio.

In alcuni casi, il mittente di un attacco phishing potrebbe essere una persona che conosci e che è stata hackerata.

Molto spesso quella persona non sa di essere stata infettata e che i criminali stanno inviando ulteriori attacchi proprio dalla sua casella email. Inoltre il pensiero che il messaggio di un contatto teoricamente fidato possa essere una trappola non è la norma per un utente medio. 

Probabilmente ti sei già imbattuto in casi simili nella chat di qualche social network, che prendono la forma di messaggi copia incollati ricevuti da profili che seguiamo. È un fenomeno che colpisce spesso account di personaggi famosi o comunque profili che hanno molti utenti. Una volta hackerati, i criminali li sfruttano per mandare messaggi ai follower. 

Ma possono colpire anche persone comuni: un’amica ti contatta chiedendoti se sei tu la persona del video e ti manda un link. Fai click e ti trovi di fronte una pagina di accesso di Facebook che ti chiede di introdurre di nuovo username e password. La curiosità è troppa e inserisci i dati. Quel messaggio in realtà è un tentativo di phishing, come ha segnalato l’azienda di sicurezza informatica Sophos nel 2020.

In questi casi è sempre meglio contattare quella persona direttamente, chiamandola o inviandole un messaggio su un’altra app, in modo da sincerarsi che sia stata davvero lei a mandare l’email o il messaggio prima di cliccarci sopra, o per avvisarla che è probabilmente vittima di un attacco phishing. 

Partiamo da una premessa: la tecnologia è effettivamente come una magia, quello che vediamo in superficie non corrisponde sempre a ciò che c’è dietro. Quello che sembra un link familiare in realtà potrebbe catapultarti da tutt’altra parte. Se scrivo qui vice.com/it quello che i tuoi occhi leggono non è ciò che vede un computer. Fai la prova. Clicca. 

Inoltre, se anni fa molte delle email di phishing erano sgrammaticate, con palesi errori di formattazione, pezzi di codice in mezzo al testo, o persino parti non tradotte rimaste in inglese, ora sono molto più accurate.

Dunque, sono due i motivi per cui non devi basarti solo sul testo per capire se una mail è sospetta: non ha mai avuto senso farlo perché gli hacker non sono solo persone di altre nazionalità che non parlano bene la tua lingua e, soprattutto, non ha senso ora perché chiunque può sfruttare strumenti online per tradurre correttamente parti di testo.

Inoltre spesso le email di phishing presentano anche parti grafiche come loghi e colori che sono copiati direttamente dalle pagine ufficiali. Vale per le email ma anche per i siti.

Alcuni esempi di phishing sono messi a disposizione da Google in questo test per allenarsi a riconoscerli e altri erano stati raccolti da un ricercatore che si occupa di sicurezza informatica.

Proprio per questi motivi, quindi, la soluzione più sicura è digitare manualmente nel browser l’indirizzo web ufficiale che conosci (non quello che trovi nella email) del servizio che ti ha contattato, così si è certi di collegarsi a una pagina sicura. 

Come per i link, anche gli allegati sono un ricettacolo di pericoli, amplificato dal fatto che gli allegati sono fatti per essere scaricati e aperti, e grossa parte del lavoro di molte persone, soprattutto in tempi di smart-working, avviene proprio tramite scambio di documenti o cartelle di documenti via email.

Negli allegati si può annidare di tutto: da file usati per hackerare gli smartphone a software in grado di prendere il controllo del nostro computer e farlo finire in una rete di pc zombie in mano ai criminali. Solitamente l’oggetto dell’allegato è anche qualcosa di noto o, di nuovo, che suona urgente e importante; non è un caso che, con la pandemia di COVID-19, diversi attacchi di phishing hanno avuto come oggetto proprio informazioni sul coronavirus.

Molti malware si diffondono così: tramite allegati inviati da persone che conosci e di cui ti fidi, ma che sono state infettate a loro volta, come nel caso del malware Emotet che ruba dettagli bancari alle vittime e diffonde anche ransomware.

Se non sei convinto di cosa contenga un allegato—ma appare come una presentazione di cui non sapevi nulla, un’offerta in pdf per un prodotto che non conosci, link a cartelle condivise su servizi cloud come Dropbox o Google Drive senza informazioni aggiuntive—e se non hai certezze sul mittente, è sempre meglio andarci cauti e non aprire il file, ma chiedere informazioni alla persona che ti ha contattato chiamandola o scrivendole in una chat. 

In parallelo alle email, il phishing può arrivare—come abbiamo accennato anche sopra—da altri canali: sms, gruppi WhatsApp, canali Telegram, o messaggi privati su Instagram. In particolare, nel caso di sms truffa, l’attacco ha persino un nome proprio: smishing, unione di SMS e phishing. 

Casi di smishing si registrano da anni e sono legati ai temi più variegati: comunicazioni dai social network, offerte imperdibili per prodotti tech, notifiche di sicurezza dalle banche, informazioni sullo stato delle nostre spedizioni. Inoltre, come per le email, anche con gli sms si può falsificare il mittente e farlo sembrare legittimo. 

 Durante il 2020 si è registrato un aumento di questi attacchi, complice il fatto che la vita delle persone—sia lavorativa che personale—ha dovuto fare molto più affidamento del solito alle comunicazioni digitali. In Italia, per esempio, a novembre 2020 i rider di Uber Eats hanno iniziato a ricevere sms con l’avviso di sospensione dell’account e richiesta di fornire dettagli. Il link ovviamente era a un sito che non c’entra nulla con il loro datore di lavoro. 

In generale, si applicano le misure descritte nei punti precedenti: non cliccare mai quel link e visitare direttamente il sito web del mittente. In alcuni casi si può anche provare a cercare il numero del mittente o il testo del SMS online: gli attacchi di smishing vengono inviati di solito a più persone contemporaneamente e c’è quindi la possibilità che qualcuno abbia già segnalato online un mittente sospetto.