Come riconoscere le email pericolose
Introduzione
Se pensiamo che fino a qualche anno fa lo strumento più veloce da poter usare era il fax, mentre oggi con un click ognuno di noi è in grado di diffondere a macchia d’olio qualsiasi tipo di informazione, ci rendiamo conto della portata del cambiamento.
Nonostante la tecnologia continui a progredire a un ritmo sorprendente e la velocità media delle connessioni a Internet aumenti di giorno in giorno, sai qual è lo strumento che viene maggiormente utilizzato per comunicare in ambito business? L’email.
A questo punto ti verrà da pensare che sia solo una questione di tempo prima che la posta elettronica lasci il posto a uno strumento più moderno.
Ma la realtà è che secondo recenti studi svolti da Radicati Research è previsto un ulteriore aumento del numero utenti di posta elettronica in tutto il mondo che nel 2022 ammonterà a oltre 4,2 miliardi.
Quindi la posta elettronica è viva e vegeta e continua ad essere lo strumento di comunicazione preferito in azienda. Immagino che sia così anche nella tua.
Il largo utilizzo che viene fatto dell’email, tuttavia, ha attirato le attenzioni dei cyber criminali che hanno concentrato le proprie attività illecite attorno a questo strumento.
Sai che di tutti gli attacchi informatici il 91% nasce da un’email pericolosa? In particolare, la tecnica maggiormente sfruttata è quella del phishing.
Il phishing è un tentativo di frode informatica che consiste nell’invio di email contraffatte con l’obiettivo di impossessarsi dei tuoi dati personali come codici di accesso all’internet banking, numeri di carta di credito, password e altri dati sensibili.
Nonostante esistano una serie di strumenti in grado di filtrare le email “cattive” e di far arrivare a destinazione solo quelle “buone”, nessuno strumento è perfetto e gli hacker continuano a perfezionare gli attacchi di phishing in modo da renderli sempre più mirati, credibili e di difficile individuazione da parte degli strumenti di sicurezza informatica.
Diventa quindi fondamentale che tu e tutto il personale della tua azienda siate in grado di riconoscere le email pericolose a colpo d’occhio, in modo da evitare di cadere vittima di attacchi che a volte hanno conseguenze devastanti per aziende e privati.
Vediamo insieme come fare.
Riconoscere al volo una email di phishing
- Le email di phishing provengono molto spesso da mittenti o brand noti, come un fornitore con cui si collabora, un servizio o un portale online (Microsoft 365 o G Suite, ad esempio) che si usa in azienda o l’istituto di credito di fiducia.
- Spesso c’è un link che porta ad un sito web che è quasi indistinguibile da quello autentico ma che è in grado di carpire le credenziali o i dati bancari immessi dall’utente.
- Queste email, possono presentare dei dati verosimili come il tuo nome, un posto in cui sei stato di recente, un acquisto che hai effettuato, ecc.
- Anche gli errori grammaticali sono stati quasi del tutto azzerati.
Di seguito riportiamo alcuni degli esempi più comuni di email di phishing: fai particolare attenzione quando ti imbatti in questo tipo di messaggi.
Finte email a nome della banca
È uno dei più classici tipi di phishing.
Consiste spesso in una email che sembra inviata dalla banca nella quale ti viene comunicato che il tuo conto sta per essere bloccato, oppure che è stato utilizzato per operazioni anomale, o ancora come conferma di esecuzione di un’operazione bancaria.
In ogni caso, in tutte queste comunicazioni, ti viene chiesto di cliccare sul link della email per autenticarti e “sistemare” così le cose.
Le banche, in realtà, non comunicano quasi mai per email e ancora più raramente chiedono di svolgere delle azioni all’interno di un messaggio di posta elettronica.
Email da siti di aste online o e-commerce
Il funzionamento è simile a quello delle banche.
Ricevi una email dove vieni avvisato di aver ricevuto un pagamento per un acquisto, o di aver eseguito un pagamento.
Anche in questo caso vieni invitato a cliccare sul link per effettuare le verifiche.
L’obiettivo in questo caso è impossessarsi della tua identità e dei numeri di carte di credito che spesso sono memorizzate nel tuo account online del sito di aste o e-commerce.
Offerte di lavoro… troppo allettanti
In questo caso ricevi una email in cui ti viene proposto un lavoro promettendoti spesso alti guadagni, poco impegno e ruoli importanti: “dirigente, amministratore delegato…”. Si tratta di false società gestite dai truffatori e l’obiettivo è rubare i tuoi dati personali per attività illegali.
Attività di trasferimento denaro
In questo caso i truffatori cercano persone da utilizzare per attività illegali di riciclaggio promettendo, anche in questo caso, importanti ricompense.
Di fatto, le persone così reclutate ricevono un bonifico dal truffatore sul proprio conto corrente e a loro volta ricevono istruzioni per trasferire quanto ricevuto su altri conti. Ovviamente si tratta di un’attività illegale.
Caratteristiche di una email di phishing
Mittente sospetto
I criminali informatici utilizzano varie tecniche di spoofing per indurre gli utenti a credere che un’email sia legittima. Controlla attentamente il dominio per individuare domini simili o non coerenti con la presunta provenienza della email. Fai attenzione quando leggi l’email sul tuo dispositivo mobile, poiché è possibile che su questi dispositivi (gli iPhone principalmente) venga visualizzato solo il nome e non l’indirizzo email. Ad esempio, una falsa email a nome della Banca Sella potrebbe riportare un mittente di questo tipo:
- “Risorse umane” risorseumane@sella.it (dominio corretto ma indirizzo inesistente).
- “Mario Guidi” mario.guidi@sellla.it (dominio simile).
- “Mario Guidi” mario.guidi@sella-spa.it (dominio falso).
- “Mario Guidi” alfiomartino1482@gmail.com (email che non ha nulla a che fare con la Banca Sella).
Oggetto
Una email di phishing può usare un linguaggio accattivante, urgente o minaccioso per incoraggiare il destinatario ad agire immediatamente. Evocare un senso di curiosità, avidità o paura è una tattica comune tra gli schemi di phishing. Ecco alcuni esempi:
- “Attenzione, il tuo conto è stato bloccato”.
- “Richiedi online il tuo preventivo”.
- “Problemi di rinnovo”.
- “Cambio della password”.
Errori
Leggi attentamente l’email: spesso i cyber criminali usano sistemi di traduzione automatica per cui le email contengono palesi errori grammaticali. Ci sono poi attacchi più sofisticati per cui la grammatica è corretta ma potrebbero esserci errori più sottili, come problemi di spaziatura o uso di simboli anziché di parole. Ma fa attenzione: in alcuni casi, non ci saranno errori.
Allegati
Diffidare di email che includono allegati. Le email di phishing possono includere un collegamento in un allegato, anziché sotto forma di link nel corpo dell’email, per evitare il rilevamento da parte di un filtro email.
Il consiglio è di non scaricare allegati che non ti aspetteresti di ricevere e di farlo solo dopo aver verificato che l’email non presenti caratteristiche tipiche di un’email di phishing.
Immagini
I criminali informatici possono facilmente replicare loghi, immagini e badge di marchi in email e pagine web indistinguibili da quelli reali. Considera tutti i fattori sopra indicati quando decidi se fare clic.
In caso di dubbi, verificalo. ISITPHISHING.AI (http://isitphishing.ai/) è un servizio gratuito che esegue analisi in tempo reale dell’URL e della pagina web per determinare se si tratta di un tentativo di phishing.
Riconoscere al volo una email di spear phishing
Due sono le cose che devono far sospettare sulla veridicità di una email:
- Il contenuto che parla di pagamenti. Occorre prestare attenzione ai messaggi che invogliano a versare denaro, fornire numeri di carta di credito e altri dati personali.
- La contraffazione del mittente: errori nel nome dell’indirizzo email.
Caratteristiche di una email di spear phishing
Mittente
Ci sono diverse varianti di mittenti più o meno alterati che si possono incontrare:
- “Human Resources” ur@altn.com (dominio corretto ma indirizzo inesistente).
- “Kevin Beatty” kevin.beatty@altn.com (indirizzo e nome corretti).
- “Kevin Beatty” kevin.beatty@altm.com (dominio alterato ma molto simile a quello vero).
- “Kevin Beatty” kevin.beatty@altn-inc.com (dominio alterato ma molto simile a quello vero).
- “Kevin Beatty” random@gmail.com (indirizzo email è completamente diverso).
È importante quindi, quando si apre un messaggio sospetto o se ne visualizza l’anteprima, controllare il mittente del messaggio e verificare se nome e indirizzo email sono coerenti con la provenienza dichiarata dal messaggio stesso.
Oggetto
Una email di spear phishing può usare un linguaggio accattivante, urgente o minaccioso per incoraggiare il destinatario ad agire immediatamente o per catturare l’attenzione dell’utente. L’oggetto di queste email può contenere termini commerciali e finanziari, come “ordine”, “fattura”, “pagamento”, “purchase,” “invoice,” “direct deposit,” ecc.
Contenuti
Il corpo della email spesso è rapido e puntuale e include quasi sempre una richiesta finanziaria. Gli hackeri in questi casi usano spesso un linguaggio progettato per far sentire la vittima come l’unica persona che può completare la richiesta e che non farlo in modo tempestivo potrebbe essere dannoso per l’azienda.
Pre-attacco
Il pre-attacco è una forma di ingegneria sociale in cui un criminale informatico coinvolge una vittima nel corso di una o più email per ottenere la sua fiducia. Sulla base delle informazioni che ha scoperto sulla vittima, l’attaccante lancia una piccola chiacchierata con la vittima per abbassare la guardia, come “Come sono andate le vacanze?” O “Congratulazioni per la promozione”.
Firma
I cyber criminali spesso includono una riga aggiuntiva nella firma che indica che il messaggio è stato composto su un telefono cellulare o tablet. Questo aiuta a rafforzare la natura urgente del messaggio, crea una scusa per inviare l’email da un indirizzo email personale e presenta una copertura per eventuali errori grammaticali o stilistici nell’email.
Email che contengono cripto-virus o altro malware
L’antivirus locale non sempre è in grado di bloccare questi malware per cui occorre prestare molta attenzione alle email che contengono allegati e link, anche se provengono da mittenti conosciuti. Occorre in particolare prestare attenzione alle email con allegati documenti di office (.doc, .docx, .xls e .xlsx), immagini, pdf e zip.
Chi riceve una email con un allegato di questo tipo, prima di aprirlo, deve:
- Analizzare il mittente del messaggio per capire se il mittente stesso è un mittente conosciuto e affidabile e non “falsificato” (vedi sezioni Mittente dei paragrafi precedenti).
- Leggere attentamente il testo del messaggio per capire se si tratta di contenuti affidabili; ad esempio in una mail che cita “accettazione ordine n°…”, il numero dell’ordine deve essere compatibile con la numerazione usata dall’azienda.
- Se la mail cita una persona, verificare che il testo sia coerente con le mansioni svolte dalla persona; ad esempio se Kevin si occupa di marketing, il testo del messaggio non può dire che si occupa dei pagamenti.
Email di spam e phishing purtroppo arrivano anche via PEC, per cui occorre non abbassare la guardia pensando che le email PEC siano immuni da questo tipo di abusi.
Attenzione poi, che alcune email possono sembrare delle PEC per la presenza di un allegato PECEnvelope.eml che assomiglia molto all’allegato postacert.eml presente nelle PEC vere.
Analizzare l’header di un messaggio
- Aprire il messaggio e selezionare il menu File, in alto a sinistra e poi il bottone Proprietà.
- Nel popup che appare, nella sezione Intestazioni Internet, selezionare tutto il testo contenuto nella text area e poi tasto destro -> Copia
- Incollare il testo copiato nel blocco note di Windows
- Confrontare il valore dell’header Return-path (il reale mittente che ha spedito) con il valore dell’header From (il mittente dichiarato da chi ha spedito). Se sono diversi, il messaggio è sospetto.
Conclusioni
È possibile ottimizzare i costi dell’Information Technology?
Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intero reparto IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.