Email Spam: come riconoscerle ed evitare il phishing

Email Spam: come riconoscerle ed evitare il phishing

Le email indesiderate non sono tutte uguali. Lo spam tradizionale cerca soprattutto di promuovere prodotti o servizi. Il phishing ha invece uno scopo più pericoloso: ottenere password, dati personali, codici di sicurezza, informazioni bancarie o pagamenti.

Riconoscere un messaggio fraudolento non è sempre immediato. Alcune email utilizzano loghi corretti, colori credibili, importi precisi e testi grammaticalmente validi. Possono imitare banche, servizi cloud, corrieri, piattaforme di pagamento e pannelli di gestione hosting.

Per questo non conviene valutare un’email soltanto dall’aspetto. Si controllano il mittente reale, il dominio, la destinazione dei collegamenti, il tipo di richiesta e la coerenza con le attività effettivamente svolte.

Nota: dalle sole immagini non si può stabilire con certezza tecnica l’origine di un messaggio. Per una verifica completa servono anche l’indirizzo email integrale del mittente, le intestazioni del messaggio e gli URL effettivi dei collegamenti.

Il nome del mittente non basta

Il primo elemento visibile è normalmente il nome del mittente: “Servizio Clienti”, “Banca”, “Supporto Cloud” oppure il nome di un’azienda conosciuta. Questo dato, però, può essere impostato liberamente da chi invia il messaggio.

Un’email può quindi apparire come proveniente da un marchio noto anche quando l’indirizzo reale appartiene a un dominio completamente diverso.

Da: American Express
Indirizzo reale: [email protected]

Nel controllo del mittente conta soprattutto ciò che compare dopo il simbolo @. Si osservano lettere sostituite, trattini aggiunti, estensioni insolite e domini molto lunghi.

Un indirizzo come:

[email protected]

non appartiene al dominio ufficiale del marchio citato. Il dominio effettivo è example.net. Le parole inserite prima servono soltanto a rendere l’indirizzo più convincente.

Esempio 1: spazio cloud esaurito

Email Spam: come riconoscerle ed evitare il phishing

Esempio di messaggio che segnala l’esaurimento dello spazio cloud e propone l’acquisto immediato di un piano superiore.

Questo messaggio utilizza un problema plausibile: lo spazio disponibile sarebbe terminato e foto, video e documenti non verrebbero più sincronizzati.

La grafica è ordinata. Sono presenti un’icona cloud, una barra rossa, l’indicazione dello spazio utilizzato e un grande pulsante per effettuare l’aggiornamento. Proprio questa pulizia grafica può ridurre l’attenzione sui dettagli.

Il primo elemento sospetto è la descrizione generica del servizio. Si parla di “Cloud Drive” e “Cloud ID”, ma non viene identificato chiaramente il provider. Anche l’icona non permette di stabilire a quale piattaforma appartenga la comunicazione.

Il testo crea inoltre una conseguenza immediata: i contenuti non sarebbero più aggiornati sui dispositivi. Si genera così il timore di perdere fotografie o backup.

Il pulsante “Upgrade Storage” potrebbe portare a una pagina che richiede credenziali o dati di pagamento. Prima di utilizzarlo sarebbe necessario controllare l’indirizzo di destinazione.

La procedura sicura consiste nell’aprire manualmente l’app o il sito ufficiale del servizio cloud. Se lo spazio è realmente esaurito, lo stesso avviso dovrebbe comparire anche nel pannello dell’account.

La presenza di un collegamento “Unsubscribe” non dimostra l’autenticità del messaggio. Anche un’email fraudolenta può includere elementi tipici delle newsletter per apparire regolare.

Esempio 2: account della carta limitato

Email Spam: come riconoscerle ed evitare il phishing

Esempio di presunto avviso di sicurezza che richiede informazioni personali e un codice PIN.

In questo caso il messaggio sostiene che alcune informazioni essenziali dell’account siano mancanti o incomplete. Come misura di sicurezza, l’accesso alla carta e alle transazioni sarebbe stato temporaneamente limitato.

La comunicazione invita quindi a usare una presunta procedura sicura di aggiornamento. Tra i dati richiesti compaiono:

  • indirizzo email;
  • indirizzo postale;
  • data di nascita;
  • cognome da nubile della madre;
  • luogo di nascita;
  • prima scuola frequentata;
  • codice PIN di sicurezza.

La combinazione è particolarmente critica. Si tratta di informazioni utilizzabili per confermare un’identità, recuperare un account o superare domande di sicurezza.

La richiesta del PIN è un indicatore molto forte. Un codice riservato non dovrebbe essere inserito in un modulo raggiunto attraverso un collegamento ricevuto via email.

Il testo usa anche l’espressione “secure one-time update option”. La parola “secure” ha però soltanto una funzione rassicurante. Non fornisce alcuna prova tecnica sulla sicurezza della pagina.

In una situazione simile non si usa il pulsante presente nel messaggio. Si apre direttamente il sito ufficiale digitandone l’indirizzo nel browser oppure si utilizza l’app già installata. Una limitazione reale dovrebbe risultare anche nell’area personale.

Esempio 3: contestazione economica conclusa

Email Spam: come riconoscerle ed evitare il phishing

Esempio di messaggio che comunica la risoluzione di una contestazione e invita a visualizzarne i dettagli.

Questo esempio è meno aggressivo. Non minaccia il blocco immediato dell’account e non dichiara apertamente un problema. Comunica invece che una contestazione relativa a un importo preciso sarebbe stata risolta.

La presenza della cifra $281.02 rende il messaggio più credibile. Un importo specifico sembra infatti collegato a un’operazione reale e può generare curiosità.

Il punto centrale è il collegamento “View Details”. Quando non si ricorda di aver aperto una contestazione, può nascere il bisogno di capire quale transazione sia coinvolta.

Nella schermata compare il nome “American Express”, ma non è visibile l’indirizzo email completo del mittente. Il solo nome non permette di verificare l’origine della comunicazione.

Anche logo, data e firma non sono prove sufficienti. Possono essere copiati da comunicazioni autentiche.

Il controllo principale riguarda il contesto. Se non è mai stata aperta una contestazione per quell’importo, il messaggio è anomalo. Se la pratica esiste realmente, se ne verifica lo stato entrando direttamente nell’area clienti.

Questo tipo di messaggio sfrutta soprattutto la curiosità. Il collegamento sembra innocuo perché promette soltanto di mostrare maggiori dettagli. Il rischio, però, rimane lo stesso: il collegamento può aprire una pagina contraffatta.

Esempio 4: quota disco di cPanel esaurita

Email Spam: come riconoscerle ed evitare il phishing

Esempio di presunto avviso tecnico relativo alla quota disco di una casella email o di un ambiente hosting.

Questo messaggio è costruito per chi gestisce siti web, hosting o caselle di posta aziendali. L’avviso sostiene che la quota disco abbia raggiunto un limite critico e che il servizio possa essere temporaneamente sospeso.

Il linguaggio tecnico aumenta la credibilità. Vengono utilizzate espressioni come “hosting environment”, “mail partition”, “storage overflow”, “quota expansion” e “root users”.

Il pulsante proposto, però, è insolito: “Synchronize Partitions”. Una sincronizzazione delle partizioni non è normalmente un’operazione da avviare attraverso un pulsante ricevuto via email.

Un problema reale di quota si controlla nel pannello di hosting, nell’area clienti del provider o attraverso gli strumenti amministrativi già configurati.

Nel messaggio compare anche un identificativo amministrativo. Un codice interno può sembrare una prova di autenticità, ma può essere generato e inserito facilmente da chi prepara la pagina.

Lo stesso vale per il logo, il copyright e i colori del marchio. Sono elementi visivi replicabili e non dimostrano l’origine effettiva dell’email.

Come controllare un collegamento senza aprirlo

Su un computer si può passare il puntatore sopra il collegamento, senza fare clic. Il browser o il programma di posta mostra normalmente l’indirizzo di destinazione nella parte inferiore della finestra.

Su smartphone si può usare una pressione prolungata, facendo attenzione a non selezionare il comando di apertura.

Si deve individuare il dominio effettivo. Per esempio:

https://americanexpress.security.example.net/update

In questo indirizzo il dominio appartiene a example.net, non al marchio inserito nella prima parte dell’URL.

Anche la presenza di https:// e del lucchetto non certifica l’identità del sito. Indica soltanto che la connessione tra il browser e quel server è cifrata. Un sito fraudolento può utilizzare normalmente HTTPS.

Le leve più usate: paura, urgenza e curiosità

I quattro esempi utilizzano meccanismi diversi. Il primo crea il timore di perdere foto e backup. Il secondo minaccia limitazioni sulla carta. Il terzo sfrutta la curiosità verso un’operazione economica. Il quarto prospetta la sospensione di un servizio tecnico.

Problema o evento importante:

  • pulsante da premere
  • pagina esterna
  • richiesta di dati, credenziali o pagamento

Quando un messaggio conduce direttamente da un allarme a un pulsante, conviene interrompere il flusso e verificare il problema attraverso un canale indipendente.

Allegati e documenti apparentemente innocui

Il phishing non utilizza soltanto collegamenti. Può arrivare anche attraverso allegati compressi, documenti Office, file HTML o PDF contenenti pulsanti e link.

Un nome come Fattura_8732.zip oppure Ordine_urgente.docm dovrebbe essere trattato con cautela, soprattutto quando il messaggio non era atteso.

Anche un PDF non è automaticamente sicuro. Può contenere collegamenti verso siti esterni o istruzioni che invitano a inserire dati in una pagina web.

Se il documento arriva fuori contesto, si verifica prima la fonte attraverso un canale già conosciuto. Non si risponde utilizzando recapiti o numeri presenti nell’email sospetta.

Email Spam: come riconoscerle ed evitare il phishing

Esempio di presunta fattura relativa un ordine effettuato.

Procedura pratica quando un’email sembra sospetta

  1. Non si premono i pulsanti presenti nel messaggio.
  2. Non si aprono allegati inattesi.
  3. Si controlla l’indirizzo completo del mittente.
  4. Si verifica il dominio effettivo dei collegamenti.
  5. Si apre manualmente il sito o l’app ufficiale.
  6. Si controllano avvisi, pratiche e transazioni nell’account.
  7. In caso di dubbio si contatta il servizio tramite recapiti ufficiali.

Per comunicazioni bancarie si usa il numero presente sul retro della carta, nell’app ufficiale o nella documentazione ricevuta al momento dell’apertura del rapporto. Non si usa un numero indicato nella stessa email che si sta verificando.

Cosa fare se il collegamento è già stato aperto

L’apertura del solo collegamento non implica automaticamente che l’account sia stato compromesso. Il rischio aumenta quando vengono inseriti password, dati della carta, codici temporanei, PIN o informazioni personali.

Se è stata comunicata una password, la si cambia subito dal sito ufficiale. Se la stessa password è utilizzata su altri servizi, la modifica va effettuata anche lì.

Se sono stati forniti dati bancari o codici di sicurezza, si contatta immediatamente l’istituto interessato. Si controllano inoltre gli accessi recenti, i dispositivi collegati, i metodi di recupero e le transazioni non riconosciute.

Per una casella email si verificano anche le regole di inoltro. Chi ottiene accesso a un account può configurare una regola per ricevere copie dei messaggi o nascondere le notifiche di sicurezza.

Regola pratica finale

Un’email non diventa autentica perché contiene un logo, un nome conosciuto, un importo preciso o un layout professionale.

La verifica si basa su elementi tecnici e sul contesto: mittente corretto, dominio ufficiale, richiesta prevista, collegamento coerente e presenza dello stesso avviso nell’area personale.

Quando anche uno solo di questi controlli non torna, non si procede dall’email. Si passa direttamente dal sito, dall’app o dal contatto ufficiale del servizio.