lunedì 1 febbraio 2021

Come difendersi dal phishing (e non fare l'Augias)

Tutti avrete seguito in questi giorni la storia di Corrado Augias, che non si è accorto di essere stato vittima di phishing e ne ha scritto nella sua rubrica su Repubblica, dimostrando di aver preso per autentica la mail che, apparentemente, l'ENEL gli aveva mandato.

Prima di venire al tema (cioè come difendersi e non cascarci) un commento sulla storia di Augias.
In realtà non è grave che lui ci sia cascato. È sì una persona intelligente e preparata, ma viene dal punto di vista digitale da un'altra epoca. Anzi, senza offesa, proprio da un'altra era geologica (Augias è del 1935).
La cosa grave è che il suo testo sia andato in stampa. Ciò dimostra che nelle redazioni non c'è più nessuno che controlla i testi prima di mandarli in stampa. Un tempo una rilettura terza (da parte dei correttori di bozze o altre figure redazionali) era la norma. E quindi ad Augias sarebbe stato risparmiato lo scivolone.

Torniamo al punto.
Come riconoscere il phishing o altri intenti maliziosi?

La prima cosa da fare, sempre, è controllare il mittente prima di aprire la mail.
E con mittente non intendo il "nome". Io posso attaccare per esempio il nome Mauro Venier a qualsiasi indirizzo di posta elettronica. Sia al mio vero "mvenier@gmx.de" che a un ipotetico "orsacchiotto@goldrake.ufo".
Controllate l'indirizzo di e-mail sempre: praticamente tutti i programmi di gestione posta vi permettono di vederlo intero senza aprire la mail. Approfittate di questa possibilità.
La maggioranza delle e-mail di phishing arrivano da indirizzi di posta che con l'ipotetico mittente non c'entrano niente o al limite sembrano solo simili.
Per esempio, se vi arriva una mail apparentemente dall'ENEL, ma l'indirizzo elettronico non è ***@enel.it bensì ***@enel.gov, ***@enelr.it o, addirittura, ***@xyz.it/com/eu... potete cancellare la mail senza leggerla.

Questo è il primo passo da fare. Sempre!

Seconda cosa. Molti servizi di posta elettronica hanno un buon riconoscimento automatico di mail di spam/phishing/ecc. e quindi le mail sospette finiscono in una cartella a parte.
È umano comunque andare a controllare anche quella cartella perché uno pensa sempre che magari l'algoritmo può sbagliare e vedere come malevola una mail seria.
È vero, può capitare, ma la maggioranza dei fornitori di servizi di posta elettronica sono affidabili su questo punto. Non perfetti, ma affidabili.
Quindi controllate pure la lista delle mail nella cartella spazzatura, ma pensateci bene, molto bene, prima di spostare quelle mail in altra cartella o aprirle.

Però alla fine avete aperto la mail.
Cosa fare ora?
Leggetela molto attentamente: una banca, un'azienda, un ufficio pubblico magari scrivono con una terminologia oscura per il profano... ma scrivono in italiano corretto! Magari usano qualche anglicismo di troppo, ma scrivono in italiano corretto!
Se la mail è scritta in italiano traballante, se contiene parole straniere che non sono il classico anglicismo... è spam, phishing o simili. Mai cliccare sui link presenti in queste mail.
Esempio stupido: sa la mail contiene una frase tipo "se lei decide di usare l'online banking", questo è un classico anglicismo e (se non ci sono altri motivi di dubbio) potete fidarvi, se la mail invece contiene una frase tipo "if lei decide di usare l'online banking", quell'if non è un anglicismo. Cancellate la mail.

Un'altra cosa da tenere presente è quando le mail sembrano arrivare da banche, aziende, fornitori di servizi di cui non siete clienti: se non siete clienti, la cosa non vi riguarda, cancellate (non se arriva dagli uffici pubblici, quelli possono riguardarvi in ogni modo, quindi in questo caso riflettete comunque un attimino più a lungo, negli altri casi potete cancellare senza riflettere).
E se, per ipotesi, dovesse riguardarvi nonostante non siate clienti, verrete contattati di sicuro al proposito anche da un corrispondente, referente di cui siete clienti. Aspettate questa comunicazione prima di rispondere.

Adesso siete comunque lì con la mail aperta.
Al di là di tutto quanto sopra avete comunque la tentazione di cliccare sul link per saperne di più o perché in qualche modo quella mail vi convince.
Bene: non cliccate, a meno di non aver fatto tutti i controlli di cui sopra e di essere sicuri al 100% (e anzi, forse meglio non farlo neanche se siete sicuri al 100%).
Cosa potete fare in questo caso?
Molto semplice: andate sul sito ufficiale di chi sembra avervi contattato (digitandolo da voi nello spazio apposito del vostro browser e ricontrollandolo bene prima di cliccare invio) e, se avete un profilo cliente con password, troverete lì tutte le informazioni che vi riguardano.
Se non avete un profilo cliente con password, sul sito comunque troverete un indirizzo e-mail, un numero di telefono o un indirizzo postale classico a cui rivolgervi per chiarire le cose e chiedere informazioni.
Usate quelli, non il link nella mail.

Aggiornamento (grazie all'amico Nmarru per l'osservazione):
Oltretutto se passate il puntatore sul link presente nella mail... questo vi mostrerà l'URL (cioè l'indirizzo del sito web) vero senza neanche cliccarci sopra.
Leggete con molta attenzione quell'URL.
Controllatelo e ricontrollatelo, facendo attenzione a tutto. Grafia, punti, caratteri, ecc.

Saluti,

Mauro.

2 commenti:

  1. Una cosa sugli algoritmi antispam

    Usano la cosiddetta inferenza Bayesiana, che detto così sembra una cosa difficilissima, in realtà è più sempice di quel che sembra. E' la famosa poesia di Trilussa sul pollo a testa. Se 10 persone hanno 10 polli ogni persona ha un pollo. Questo è l'approccio frequentista (banalizzando). L'approccio bayesiano invece prima guarda alcune caratteristriche della persona (giovane, vecchio, povero, ricco, contadino, impiegato) e sulla base di queste da un "peso" e stabilisce che probabilitù abbiate di avere un pollo o due o zero.

    Traslato sugli algoritmi antispam l'algoritmo controlla tutte le cose che saggiamente elencava Mauro: mittente, errori grammaticali, link verso siti improbabili e anche tutta una serie di campi funzionali della mail che l'utente normalmente non vede. Li pesa e, sulla base di quante volte quelle caratteristiche hanno riguardato una mail di SPAM, la cataloga come tale.

    Questo però implica che dovete essere voi a segnalare come SPAM una mail di SPAM e rimuovere la mail dallo SPAM se è un falso positivo, per addestrare il vostro sistema a riconoscere bene le cose.

    E' chairo che se la vostra casella è su gmail l'algoritmo di google ha una base statitistica di migliaia di miliardi di email che ha transato durante la sua esistenza e l'algroritmo, viste le premesse, è più preciso.

    RispondiElimina
    Risposte
    1. Esatto.
      Spiegazione perfetta, grazie Layos.

      Elimina