Vi spiego come riconoscere facilmente un tentativo di phishing via mail. Lo faccio con uno appena arrivato a me e legato alla moneta digitale, le cryptocurrencies.
Sembra provenga da sendcoin.info, una piattaforma specializzata nello scambio di Bitcoin. Nel testo (che identifica correttamente l’interlocutore come “Sir”) si avvisa che mi sono state inviate diverse mail senza ottenere risposta. Inoltre, si specifica che la società ha tentato due volte di fare il pagamento presso la mia banca, ma è stato respinto. A proposito, si allega la ricevuta della mancata transazione e si chiede di riconfermare le proprie coordinate bancarie. Ciò in quanto il codice SWIFT che io avrei prodotto non matcherebbe con quello della mia banca. Ovviamente, si chiede di re-inviare il form corretto al più presto e si avvisa che il contenuto inviato è “protetto” contro il furto o la manipolazione nel corso della trasmissione.
Ecco come si smaschera il classico tentativo di phishing via email
Bene. Questo è il classico tentativo di phishing via mail, con forse anche un test per installare malware. Perché? Ve lo spiego subito. Parliamo innanzitutto del tema: io non ho mai comprato Bitcoin, ma come Difesa & Sicurezza ne abbiamo scritto. Ciò ha fatto sì che qualche bot del cybercrime lo abbia collegato al mio nome per associare una campagna ad hoc. Inoltre, sempre tramite un programma, si può evincere facilmente che dal nome sono un maschio. Quindi, nel testo della mail è stato scritto “Dear Sir”. Partendo da queste informazioni, il messaggio è stato costruito “su misura” in base ai miei presunti interessi e dati di base. Che in teoria potrebbero anche essere veri.
Il bot, il programma che ha generato il falso messaggio, ha commesso più orrori che errori
Poi, però, comincia la serie di errori/orrori informatici infinita. Innanzitutto la mail è stata inviata a un “undisclosed recipient”. Cioè a più destinatari, anche se nascosti. Nella realtà, invece, qualsiasi organismo l’avrebbe indirizzata solo ed esclusivamente a me. Non foss’altro per una questione di tutela della privacy. Ma la cyber “toppa” è solo la prima di tante. Secondo dato sospetto: Il bot usato per scrivere il contenuto. Questo deve essere abbastanza primitivo, tanto che ha messo un “Dear Sir” generico, invece del mio cognome. Non si manda a un destinatario generico un messaggio legato al proprio conto corrente. Ormai anche la pubblicità viene inviata personalizzata, figuriamoci una mail bancaria.
Il presunto direttore delle vendite internazionali che lavora in campagna, vicino alla ferrovia e a una fabbrica di scaldabagni
Terzo orrore gigantesco: il mittente. Formalmente questo è tal John Detlef Krause, direttore vendite internazionali, di base a Luneburg. Benissimo, questo signore su internet non esiste. C’è un suo quasi omonimo (il nome è identico tranne il John iniziale e abita anche lui in Bassa Sassonia, ma in un’altra città: Osnabruck). Sinceramente è abbastanza impossibile che un direttore vendite internazionali di una società, per di più legata ai Bitcoin, non sia presente in rete in nessuna forma. Ultimo pasticcio del bot è stato l’indirizzo di Herr Krause: Pirolweg 1-5. Esiste davvero, ma è di una casetta col giardino in una strada tra i boschi e la ferrovia. Vicino c’è solo una fabbrica di scaldabagni, che non penso venda anche Bitcoin. Come l’ho scoperto? Facile, basta digitare i nomi che ci interessano su Google, i social media e Google Street View per vedere esattamente cosa c’è all’indirizzo fornito. Poi, ho unito i puntini.
Questa è la dimostrazione che tutti possono proteggere meglio la rispettiva sicurezza informatica
Questa dimostrazione vuole farvi capire che non bisogna essere un cyber esperto o un hacker per scoprire una mail pericolosa, prima che sia troppo tardi. Bastano semplici verifiche su internet. Controllate bene il mittente, anche se vi è familiare (a volte il cybercrime crea indirizzi molto simili, ma diversi a quelli dei vostri conoscenti). Prestate attenzione a tutti gli elementi del messaggio: dal tono all’oggetto, soprattutto se tocca una corda sensibile e se c’è un link o un allegato. Infine, studiate i dati e l’indirizzo del firmatario, come ho fatto io. In caso di trasferimenti di denaro o informazioni, peraltro, è sempre bene chiedere una conferma telefonica all’interlocutore (non al numero fornito nella mail ma a uno preso da fonti sicure online o meno). Questa volta, infatti, si trattava di un test maldestro. Ma a volte le truffe sono costruite molto meglio. Allora perché rischiare?
Ecco la falsa mail:
Il destinatario multiplo e nascosto
Il testo del messaggio sulla transazione rifiutata 2 volte, con l’allegato malware
Infine, il mittente e l’indirizzo
Il ridente “luogo di lavoro” del direttore Krause