Home » E-mail di phishing: il pericolo è a portata di clic
phishing-email

E-mail di phishing: il pericolo è a portata di clic

Le e-mail di phishing, per avere successo, devono essere cliccate dall’utente. Ma perché non si riesce a mettere in pratica una precauzione così semplice?

La risposta è semplice: le persone cliccano su link dannosi e cadono nelle truffe delle e-mail di phishing perché non prestano attenzione.

Con metodi di contraffazione sempre più sofisticati, i criminali creano e-mail esteticamente identiche a quelle dell’azienda mittente, ma c’è una differenza (a volte non così sottile), che potrebbe essere l’avvertimento di cui l’utente ha bisogno: il contenuto del pezzo.

In altre parole, vengono utilizzate offerte con vantaggi insoliti, inviti all’azione che danno grande priorità all’urgenza, oltre a una serie di altri dettagli, con l’obiettivo di “incantare” il destinatario dell’e-mail di phishing.

In altre parole, l’incanto crea la distrazione (e l’urgenza) necessaria per indurlo a cliccare sul link o sul pulsante che porterà a termine la truffa.

E poi non c’è scampo: cliccato, via!

Come il phishing via email danneggia l’email marketing

Oltre a causare danni agli utenti delle e-mail, il phishing può rovinare l’email marketing di qualsiasi azienda. Questo è un altro motivo per cui le misure di protezione dei filtri anti-spam sono così severe.

Molti pensano che l’acquisto di mailing list sia più veloce (e più pratico) della costruzione di una base di contatti reali.

Questa è la tipica cosa economica da fare, perché le liste acquistate, oltre a essere illegali, contengono molto spam, che a sua volta è un’ottima fonte di phishing.

Costruire una solida base di e-mail richiede tempo, dedizione e verifica delle e-mail. È questo servizio che determinerà la lead generation.

Tutti gli utenti di posta elettronica dovrebbero imparare a prevenire questi reati. Leggete quindi con attenzione i seguenti consigli!

Le più comuni truffe di phishing via email

Email di phishing e richieste aziendali

Gli hacker usano la creatività come alleato. Un esempio sono le truffe via e-mail delle aziende, che contengono messaggi di alti dirigenti che richiedono trasferimenti di denaro a clienti o a reparti specifici. Questi trasferimenti vengono effettuati ai criminali.

Conferma dei dati del conto corrente bancario

Ricevete un’e-mail dalla vostra banca che vi informa di un’attività sospetta sul vostro conto. E che, per motivi di sicurezza, l’istituto vi chiede di inserire dati di conferma. Non rispondete mai a questa richiesta.

Attenzione all’autenticazione a due fattori

L’autenticazione a due fattori è stata creata per proteggere le persone dalla criminalità informatica, ma gli hacker possono aggirarla inviando un’e-mail di phishing che chiede all’utente di inserire i propri dati su un altro dispositivo, ad esempio un SMS del telefono cellulare.

Per evitarlo, è necessario essere in grado di riconoscere se l’e-mail è autentica o meno. Per saperne di più.

Come riconoscere un’ email falsa

Non esiste un’e-mail di phishing perfetta. Ci sarà sempre una traccia di falsificazione ed è qui che deve entrare in gioco la vostra capacità di riconoscerla.

Osservare l’URL e identificare un’e-mail di phishing

Quando si passa il mouse (senza fare clic) sull’URL, si vede la pagina. Attenzione agli errori di ortografia. Ad esempio: Netflik invece di Netflix.

Cercate l’azienda che presumibilmente ha inviato l’e-mail e controllate l’URL su Google. Un’e-mail di phishing spesso crea URL molto simili all’originale, soprattutto per i siti web governativi, che hanno l’estensione .org.

Ad esempio: capital_sp.gov.br è diverso da capital.sp.gov.br. La seconda opzione è quella vera. Si noti che la sottolineatura è ciò che differenzia un URL da un altro. Tenete gli occhi aperti!

Utenti Gmail

Quando si apre il messaggio, individuare i 3 punti sul lato destro. Cliccate su “mostra originale“.

Qui troverete l’intestazione dell’e-mail, che è estremamente importante per verificare se un’e-mail è autentica.

Osservate il campo “Da:” e verificate se l’origine dell’e-mail corrisponde a chi dichiara di essere il mittente.

Anche la data di invio è importante, in modo da poter identificare una vecchia e-mail di phishing (che di solito si trova tra le e-mail di massa).

Controllate le certificazioni SPF, DKIM e DMARC. Queste certificazioni servono a dimostrare che il dominio è il vero mittente del messaggio e non qualcuno che cerca di impersonarlo.

L’assenza di queste certificazioni rivela le e-mail di phishing e assicura al provider di e-mail (in questo caso, Gmail) che il messaggio è autentico, cioè non è spam.

Ecco il significato di ciascuna certificazione:

  • SPF – Sender Policy Framework: è l’elenco di tutti i server che appartengono al dominio.
  • DKIM – DomainKeys Identified Mail: è la firma del dominio su ogni e-mail inviata.
  • DMARC – Domain-based Message Authentication Reporting and Conformance: se SPF o DKIM non soddisfano le impostazioni del dominio, DMARC indica se il messaggio deve essere messo in quarantena o addirittura restituito al dominio mittente.

Importante: un dominio può configurare solo l’autenticazione SPF, o solo DKIM, o entrambi insieme. L’importante è che ci sia un qualche tipo di certificazione nell’intestazione dell’e-mail.

FAQ

Perché così tante persone cadono ancora nelle truffe di phishing?

Le e-mail di phishing contengono una serie di tecniche per affascinare e distrarre l’utente con contenuti accattivanti e offerte miracolose. In questo modo, le persone vengono attratte e finiscono per cliccare su link e pulsanti dannosi, che fanno sì che le truffe si concretizzino.

In che modo il phishing danneggia l’email marketing?

Le e-mail di phishing danneggiano la reputazione delle aziende serie che utilizzano l’email marketing come canale di comunicazione. Uno spam di phishing viola il GDPR e può anche portare al blocco dell’intera lista da parte dei filtri antispam dei provider. Con l’interruzione della comunicazione, gli investimenti delle aziende crollano.

Quali sono le truffe più conosciute?

False e-mail di rimborso fiscale, e-mail aziendali che richiedono trasferimenti di denaro, richieste di aggiornamento dei dati bancari e autenticazione a due fattori. Sebbene si tratti di una misura di sicurezza, gli utenti devono essere in grado di riconoscere l’autenticità di un’e-mail esaminando l’URL e le intestazioni del messaggio.