Uno dei modi in cui si può essere facilmente truffati, in Internet, è tramite messaggi di posta elettronica che simulano di essere provenienti da aziende di cui siamo clienti. Il metodo utilizzato dai truffatori è quello che costruire un messaggio che apparentemente è simile a quello di una azienda di cui ci dovremmo fidare, e di richiedere dati sensibili, tra cui la password di accesso ai servizi bancari e finanziari della azienda stessa che normalmente utilizziamo come modo di identificarci.
Questo viene chiamato in gergo Phishing. In Rete ogni giorno viene inviata una quantità enorme di questi messaggi. Una parte di loro ottiene lo scopo: riuscire a memorizzare i dati con cui noi veniamo riconosciuti come clienti.
E’ facile comprendere le conseguenze: i nostri conti, i nostri servizi, la nostra identità sono in balia dei criminali informatici che hanno carpito così le informazioni.
Come accade ?
Spesso vengono inviati quantitativi giganteschi di messaggi di posta elettronica, spediti in automatico a lunghe liste di indirizzi di posta elettronica tra cui il nostro. La tecnica è quella del pescatore: io butto l’amo del messaggio, senza sapere spesso se dall’altra parte c’è un cliente dell’azienda che voglio simulare. Se qualcuno ‘abbocca’, risponde, perché crede di essere stato contattato veramente da Poste italiane, da Ebay, o da altri siti strategici a livello economico, allora è facile che alla fine io possa ottenere le sue credenziali d’accesso.
Il cybercriminale utilizza siti civetta, che simulano anch’esse di essere dell’azienda del cliente, che all’interno hanno la sola funzione di rubare password e tutti i dati necessari per l’accesso.
In generale occhio a questo tipo di messaggi, potreste perdere parte dei vostri beni e ottenere poi indagini internazionali per riottenere il maltolto sarebbe un lungo cammino.
Cosa accade ? Apriamo la posta elettronica. L’azienda ci ha scritto. Vuole che andiamo su un suo sito inserendo password e nome utente. Ciò accade, noi ci fidiamo. In futuro saremo a rischio di furto.
Come difendersi ?
Ci sono alcuni indizi per difendersi da questi messaggi. La prima difesa consiste nell’essere diffidenti quando nel messaggio vi sono alcuni segnali:
– Non viene riportato il nostro nominativo o nome utente
– Vi sono evidenti errori di grammatica addirittura nell’oggetto
– In generale abbiamo la sensazione che il messaggio risulti assolutamente insolito
– Importante: nei link che ci indicano di cliccare, andando con la freccia del mouse, cioé il puntatore, sopra il link, appaiono indirizzi Web strani, per esempio di domini Internet di paesi diversi da quelli che ci dovremmo aspettare, oppure nomi storpiati del sito originale dell’azienda. Per esempio il messaggio potrebbe dirci di andare ad inserire la nostra password di Poste Italiane su di un dominio russo (suffisso .ru).
– Il messaggio viene inviato ripetuto identico più volte in pochi giorni
– Il messaggio ha allegati dei software o dei documenti che non vi aspettate. Le applicazioni (formato .exe) non vanno in questo caso mai scaricate ed installate.
In generale dovreste diffidare di tutti i messaggi che non provengono da l’indirizzo ufficiale che prevedete sia quello con cui vi contatta l’azienda di solito. Al massimo potreste contattare, prendendolo dal vero sito ufficiale, l’indirizzo e-mail per i clienti dell’azienda, riportando i dati originali del messaggio sospetto, chiedendo se è necessario inserire la password.