Le e-mail di phishing, per avere successo, devono essere cliccate dall’utente. Ma perché non si riesce a mettere in pratica una precauzione così semplice?
La risposta è semplice: le persone cliccano su link dannosi e cadono nelle truffe delle e-mail di phishing perché non prestano attenzione.
Con metodi di contraffazione sempre più sofisticati, i criminali creano e-mail esteticamente identiche a quelle dell’azienda mittente, ma c’è una differenza (a volte non così sottile), che potrebbe essere l’avvertimento di cui l’utente ha bisogno: il contenuto del pezzo.
In altre parole, vengono utilizzate offerte con vantaggi insoliti, inviti all’azione che danno grande priorità all’urgenza, oltre a una serie di altri dettagli, con l’obiettivo di “incantare” il destinatario dell’e-mail di phishing.
In altre parole, l’incanto crea la distrazione (e l’urgenza) necessaria per indurlo a cliccare sul link o sul pulsante che porterà a termine la truffa.
E poi non c’è scampo: cliccato, via!
Indice dei contenuti
Come il phishing via email danneggia l’email marketing
Oltre a causare danni agli utenti delle e-mail, il phishing può rovinare l’email marketing di qualsiasi azienda. Questo è un altro motivo per cui le misure di protezione dei filtri anti-spam sono così severe.
Molti pensano che l’acquisto di mailing list sia più veloce (e più pratico) della costruzione di una base di contatti reali.
Questa è la tipica cosa economica da fare, perché le liste acquistate, oltre a essere illegali, contengono molto spam, che a sua volta è un’ottima fonte di phishing.
Costruire una solida base di e-mail richiede tempo, dedizione e verifica delle e-mail. È questo servizio che determinerà la lead generation.
Tutti gli utenti di posta elettronica dovrebbero imparare a prevenire questi reati. Leggete quindi con attenzione i seguenti consigli!
Le più comuni truffe di phishing via email
Email di phishing e richieste aziendali
Gli hacker usano la creatività come alleato. Un esempio sono le truffe via e-mail delle aziende, che contengono messaggi di alti dirigenti che richiedono trasferimenti di denaro a clienti o a reparti specifici. Questi trasferimenti vengono effettuati ai criminali.
Conferma dei dati del conto corrente bancario
Ricevete un’e-mail dalla vostra banca che vi informa di un’attività sospetta sul vostro conto. E che, per motivi di sicurezza, l’istituto vi chiede di inserire dati di conferma. Non rispondete mai a questa richiesta.
Attenzione all’autenticazione a due fattori
L’autenticazione a due fattori è stata creata per proteggere le persone dalla criminalità informatica, ma gli hacker possono aggirarla inviando un’e-mail di phishing che chiede all’utente di inserire i propri dati su un altro dispositivo, ad esempio un SMS del telefono cellulare.
Per evitarlo, è necessario essere in grado di riconoscere se l’e-mail è autentica o meno. Per saperne di più.
Come riconoscere un’e-mail falsa
Non esiste un’e-mail di phishing perfetta. Ci sarà sempre una traccia di falsificazione ed è qui che deve entrare in gioco la vostra capacità di riconoscerla.
Osservare l’URL e identificare un’e-mail di phishing
Quando si passa il mouse (senza fare clic) sull’URL, si vede la pagina. Attenzione agli errori di ortografia. Ad esempio: Netflik invece di Netflix.
Cercate l’azienda che presumibilmente ha inviato l’e-mail e controllate l’URL su Google. Un’e-mail di phishing spesso crea URL molto simili all’originale, soprattutto per i siti web governativi, che hanno l’estensione .org.
Ad esempio: capital_sp.gov.br è diverso da capital.sp.gov.br. La seconda opzione è quella vera. Si noti che la sottolineatura è ciò che differenzia un URL da un altro. Tenete gli occhi aperti!
Utenti Gmail
Quando si apre il messaggio, individuare i 3 punti sul lato destro. Cliccate su “mostra originale“.
Qui troverete l’intestazione dell’e-mail, che è estremamente importante per verificare se un’e-mail è autentica.
Osservate il campo “Da:” e verificate se l’origine dell’e-mail corrisponde a chi dichiara di essere il mittente.
Anche la data di invio è importante, in modo da poter identificare una vecchia e-mail di phishing (che di solito si trova tra le e-mail di massa).
Controllate le certificazioni SPF, DKIM e DMARC. Queste certificazioni servono a dimostrare che il dominio è il vero mittente del messaggio e non qualcuno che cerca di impersonarlo.
L’assenza di queste certificazioni rivela le e-mail di phishing e assicura al provider di e-mail (in questo caso, Gmail) che il messaggio è autentico, cioè non è spam.
Ecco il significato di ciascuna certificazione:
- SPF – Sender Policy Framework: è l’elenco di tutti i server che appartengono al dominio.
- DKIM – DomainKeys Identified Mail: è la firma del dominio su ogni e-mail inviata.
- DMARC – Domain-based Message Authentication Reporting and Conformance: se SPF o DKIM non soddisfano le impostazioni del dominio, DMARC indica se il messaggio deve essere messo in quarantena o addirittura restituito al dominio mittente.
Importante: un dominio può configurare solo l’autenticazione SPF, o solo DKIM, o entrambi insieme. L’importante è che ci sia un qualche tipo di certificazione nell’intestazione dell’e-mail.
FAQ
Le e-mail di phishing contengono una serie di tecniche per affascinare e distrarre l’utente con contenuti accattivanti e offerte miracolose. In questo modo, le persone vengono attratte e finiscono per cliccare su link e pulsanti dannosi, che fanno sì che le truffe si concretizzino.
Le e-mail di phishing danneggiano la reputazione delle aziende serie che utilizzano l’email marketing come canale di comunicazione. Uno spam di phishing viola il GDPR e può anche portare al blocco dell’intera lista da parte dei filtri antispam dei provider. Con l’interruzione della comunicazione, gli investimenti delle aziende crollano.
False e-mail di rimborso fiscale, e-mail aziendali che richiedono trasferimenti di denaro, richieste di aggiornamento dei dati bancari e autenticazione a due fattori. Sebbene si tratti di una misura di sicurezza, gli utenti devono essere in grado di riconoscere l’autenticità di un’e-mail esaminando l’URL e le intestazioni del messaggio.