Le diverse facce delle minacce alle email

Le truffe via email si presentano in tutte le forme e dimensioni. Alcune sono così ovvie che fanno ridere - nessuno sforzo è stato fatto per mascherare una truffa.

Ma non pensare che siano tutte così. Le truffe via email sembrano solo diventare più astute e creative. Sono del tipo che anche il gen-z più esperto di computer, che è cresciuto dormendo su un iPad, guarderebbe due volte prima di rendersene conto. Dove, se non fossero così diaboliche, potresti persino fare un passo indietro e ammirare l'approccio. Ti mostreremo come riconoscere il phishing e altre comuni truffe via email e come difenderti da esse.

Un rapido tuffo nel passato

Molti di noi ricordano i primissimi giorni delle truffe via email—giorni idilliaci in cui eravamo sia più ingenui, ma anche meno fiduciosi nelle email. Quando ricevevamo una truffa, la leggevamo con interesse confuso, cercando di capire perché il mittente pensasse che noi fossimo la persona giusta a cui rivolgersi per aiuto. 

Chi ricorda Il Prigioniero Spagnolo? Un'anima sfortunata di grande ricchezza, che aveva disperatamente bisogno del nostro aiuto per pagare il suo riscatto in modo da poter essere rilasciato dalla prigione. Divertente, questa truffa in realtà precede l'email, originando nei primi anni del XIX secolo. Un surfista di Internet da qualche parte evidentemente ha deciso di digitalizzarla.

Oggigiorno, le truffe via email sfruttano molto di più i punti di forza del loro formato digitale. A differenza di alcune delle truffe originali, utilizzano i vantaggi che Internet ha offerto nel corso degli anni — come la possibilità di elaborare facilmente i pagamenti online, una maggiore dipendenza dall'email per le nostre comunicazioni più importanti e l'evoluzione dei social media per citarne solo alcuni.

Indizi di una truffa, fin dall'inizio

Prima di esaminare più da vicino i diversi tipi di truffe via email, condivideremo alcune regole generali che puoi utilizzare per aiutarti a identificare una truffa/spam via email — perché condividono tutti elementi comuni — un mittente, una riga dell'oggetto, testo del corpo e forse, cosa più importante, la necessità di essere letti e creduti.

Nome dell'azienda/mittente

Fai attenzione a:

1. Errori di battitura o stilizzazione errata — Paypal vs. PayPal. 
2. Qualcosa che sembra eccessivamente descrittivo o improbabile — Emergenza auto AA vs. AA.
3. Aziende con cui non fai acquisti/trattative — Una nota da Barclays quando banchi con Lloyds.
4. Qualsiasi cosa sembri strana — Dai simboli e aziende dai nomi bizzarri, agli spazi strani — a volte c'è qualcosa che sembra semplicemente sbagliato riguardo al mittente.

Indirizzo email del mittente

Fai attenzione a:

1. Un indirizzo email incongruente — Qualcosa che è in contrasto con il nome dell'azienda.
2. Sosia — Un indirizzo progettato per sembrare la vera azienda. Questo potrebbe essere il dominio (@paypalcare.com) o il TLD (@paypal.club). 
3. Errori — Errori di battitura o altre irregolarità nell'indirizzo.

Linee dell'oggetto

Fai attenzione a:

1. Frasi progettate per provocare urgenza — ‘Avviso: Ultimo avviso di pagamento’.
2. Linguaggio che promette troppo — ‘Guadagna £1000 in cinque minuti’.
3. Linguaggio che provoca una forte reazione emotiva — ‘Sei assunto! Inizia domani!’
4. Errori di battitura — I truffatori non sono noti per la loro buona grammatica.
5. Uso eccessivo di punteggiatura o emoji — Poche aziende reali li usano.
6. La presenza di ‘Re’ — Potrebbe essere usato per suggerire che hai risposto prima quando non l'hai fatto.
7. Pulsanti e allegati — Evita sempre di cliccare su pulsanti o scaricare allegati in email sospette.

Testo del corpo

Fai attenzione a:

1. Promesse incredibili — Simile alla versione della linea dell'oggetto, ma c'è spazio per l'espansione nel testo del corpo che offre l'opportunità di rendere le bugie più convincenti.
2. Inviti all'azione che richiedono informazioni personali — Soprattutto indirizzo o dettagli della carta.
3. Riferimenti a qualsiasi cosa che non ricordi — Da eventi a servizi che non hai mai ricevuto
4. Impersonificazione — Qualcuno che afferma di essere un amico o un parente, ma non sembra se stesso.

Ora che hai un po' di background su come i truffatori possono manipolare diverse parti di un'email, esaminiamo esempi specifici. 

Malware

Per molti, gli attacchi malware sono probabilmente il primo tipo di email canaglia che abbiamo effettivamente temuto. All'epoca, probabilmente li chiamavamo semplicemente virus email. Aprilo, lo schermo diventa nero. Gioco finito. Quel genere di cose.

In realtà, il malware copre una vasta gamma di attacchi dannosi — e alcuni di essi sono, francamente, un bel po' più spaventosi della rapida morte del computer. 

Monitoraggio dei tasti? Scaricare la tua CPU senza che tu lo sappia? Spiarti? Forzare la comparsa di annunci sospetti ogni cinque minuti? Sì, il malware copre una vasta gamma di piccoli programmi che si inseriscono nel tuo computer senza che tu lo sappia, e le loro funzioni vanno da cose associate a burloni nefandi a veri e propri criminali. Sono evasivi e spesso difficili da eliminare — se sai che ci sono.

Come rilevare il malware

Se stai riscontrando uno dei sintomi elencati sopra, c'è una buona probabilità che si tratti di malware. Questo potrebbe provenire da un'email — ma non necessariamente. Ci sono altri modi in cui questi programmi possono inserirsi nel tuo computer — download, siti web sospetti e persino dispositivi hardware canaglia. Se mai trovi una chiavetta USB per strada, non vedere cosa c'è sopra.

Proteggiti dal malware

Rischiando di affermare l'ovvio, prova il software di rilevamento malware. Ma scegli qualcosa di affidabile. 

Se cerchi su Google come prevenire il malware in primo luogo, il consiglio principale è installare un software antivirus. Personalmente, non conosco nessuno che lo abbia fatto dalla fine degli anni 2010, ma chi sono io per contraddire l'intera conoscenza umana e l'esperienza di massa omogeneizzata in una risposta di una riga da Gemini, servita in una frazione di frazione di secondo?

Detto ciò, la protezione dalle minacce offerta dai sistemi operativi è generalmente migliore di quanto non fosse nei primi giorni, Windows in particolare si aggiorna per proteggere dalle minacce, ma più importante, molti software di posta elettronica stanno facendo il lavoro per noi, filtrando le email sospette prima che ci raggiungano. 

È una buona idea trovare un provider di posta elettronica che promuova una buona protezione contro il malware e scansiona le tue email prima che ti raggiungano. Questo è particolarmente utile quando si tratta di evitare attacchi psicologici (e ne parleremo tra un momento).

Se parliamo di protezione, piuttosto che di prevenzione, è una buona idea mantenere backup regolari, nel caso in cui tu venga colpito da uno di questi attacchi. Personalmente consiglio qualcosa come Mega Sync, che si aggiorna ogni volta che salvi un file.

Phishing

Oggigiorno, è probabile che tu incontri una truffa di phishing via email. Perché? Perché come una melodia accattivante, o l'odore della primavera, siamo tutti suscettibili al loro fascino. Ma come puoi identificare il phishing?

Gli attacchi di phishing sono efficaci grazie alla loro versatilità. A volte non è difficile rilevare il phishing. Possono essere qualsiasi cosa: Letteralmente qualsiasi cosa che induca qualcuno a inserire i propri dati personali. Pensa a qualsiasi motivo per cui potresti sentirti obbligato a condividere i tuoi dati personali o inviare denaro a qualcuno, e ha il potenziale per diventare un'email di phishing.

Ecco solo alcuni esempi, e tieni presente che la chiave del phishing è che tutte queste email sembrano reali, ma sono false:

1. Notifica di reimpostazione della password.
2. Compila i dettagli bancari mancanti.
3. Completa il tuo indirizzo postale per abilitare la consegna.
4. Rinnova il tuo abbonamento.
5. Sei un vincitore del concorso!
6. Un amico in difficoltà chiede aiuto.
7. Notifica di rimborso fiscale.
8. Richiesta di donazioni di beneficenza.

Se non hai mai visto una truffa di phishing, sei davvero un pesce? Sono così onnipresenti che è difficile immaginare un'email senza di loro. Ma c'è più di un modo per fare phishing...

Spear phishing e whaling

Lo spear phishing e il whaling prendono di mira individui specifici, spesso con tattiche più aggressive.

Lo spear phishing utilizza conoscenze personali, solitamente ottenute da diverse fonti, per creare email più convincenti. Poiché è scritto utilizzando informazioni personali, potrebbe fare riferimento a veri amici, situazioni o persino impersonare una banca (ecc.) in modo più convincente. Se pensi che questo sia improbabile che accada a te, tieni presente che la maggior parte delle persone ha più informazioni pubblicamente accessibili online di quanto si rendano conto.

Se qualcuno si spacciasse per un tuo amico e facesse riferimento a un evento molto specifico a cui avete partecipato entrambi un decennio fa, perché non dovresti crederci? Potrebbe volerci un po' per ricordare che ne hai parlato in dettaglio su Facebook e che il post è visibile pubblicamente. Quando ti chiedono di prestare denaro, forse daresti una mano. 

Siamo tutti suscettibili allo spear phishing, il che lo rende più pericoloso delle truffe più ovvie. Un fortunato avvertimento è che il livello di ricerca richiesto per portare a termine con successo una truffa di spear phishing è scoraggiante per la maggior parte dei truffatori. È più facile scommettere su un'email di massa a cui risponderanno meno persone. Ma è qui che l'IA entrerà in gioco in futuro? Dobbiamo rimanere vigili.

Whaling

Allora, cos'è il whaling? Beh, in molti modi, un attacco di whaling è praticamente lo stesso dello spear phishing, ma è specifico per prendere di mira individui facoltosi, come i CEO. 

La triste realtà è che il loro status li rende bersagli migliori su cui investire tempo, e altri fattori, (come la loro ricchezza, responsabilità, mancanza di tempo e ampia base di contatti), significano che ci sono diverse potenziali debolezze da sfruttare. Ad esempio, forse devono solo convincere un assistente personale o una segretaria che hanno l'approvazione del CEO. Quindi, sembra che il whaling commerciale sia sempre una cosa negativa.

Come proteggersi dallo spear phishing e dal whaling 

Oltre a quanto elencato nella nostra guida generale sopra, dovresti anche impostare un forte filtraggio dello spam. Il fattore umano è davvero dove le email di phishing brillano. Se il malware è un semplice trucco, allora a un certo livello, il phishing richiede che siamo complici. Dopotutto, dobbiamo fornire le nostre informazioni. Come abbiamo discusso, lo fa appellandosi alla nostra risposta emotiva.

Quindi assicurarsi di non entrare mai in contatto con esso in primo luogo è il modo più forte per combatterlo. I filtri antispam cercano più elementi quando considerano un'email che noi come esseri umani non possiamo. Incrociano le liste nere, i modelli comportamentali noti e persino un metodo noto come filtraggio bayesiano. Questo confronta il contenuto di un'email con spam noti rispetto a email legittime per calcolare la probabilità che sia spam. Inoltre, i buoni filtri antispam terranno conto di ciò che altri utenti segnalano come spam creando quello che è noto come un ciclo di feedback degli utenti.

Email aziendale compromessa

Leggermente diverso da tutto ciò che abbiamo esaminato finora, questo proviene dall'angolo opposto — l'idea che un account email legittimo sia stato compromesso. Non deve essere un account aziendale, ma per il bene di questa voce, ci sono alcuni fattori più interessanti di cui parlare se immaginiamo che lo sia.

Se un truffatore riesce a ottenere illegalmente l'accesso a un account email aziendale, può spacciarsi per lavoratori per richiedere fondi o persino l'accesso ad altri sistemi interni che possono includere dati sensibili.

Compromettere un account aziendale sfrutta anche un'altra peculiarità sociale intrinseca in molte aziende, in particolare quelle più grandi: è improbabile che ogni membro del personale conosca tutti gli altri. Questo, combinato con il fatto che le persone sono tenute a essere educate in un ambiente di lavoro, significa che queste email hanno vantaggi extra rispetto agli account privati.

Come proteggersi da questo

Assicurarsi che tutti i dipendenti utilizzino l'autenticazione a due fattori (2FA) e scelgano password forti riduce notevolmente il rischio di account rubati/hackerati. La 2FA garantisce che il titolare dell'account sappia sempre se qualcuno tenta di entrare, e una password forte rende più difficili gli attacchi di forza bruta. 

Puoi anche ridurre la probabilità di problemi futuri disattivando immediatamente gli account dei dipendenti che lasciano l'azienda. Un cimitero di account inutilizzati che accumulano polvere è solo un incidente in attesa di accadere.

Fatture false 

Uno dei temi che potresti notare è lo sfruttamento di diverse estremità emotive. Finora abbiamo considerato la paura o la negligenza di un CEO e la presunta apatia di un dipendente nei confronti di un altro. Ora proviamo la rabbia.

Qualcuno afferma che gli devi dei soldi e richiede un rimborso immediato. Sono arrabbiati, dicono cose che ti fanno dubitare della tua stessa memoria o creano una circostanza di cui non puoi essere sicuro che non sia reale. Il vitriolo e la rabbia continuano fino a quando sembra quasi più facile pagarli.

Questo potrebbe non sembrare probabile per molti di noi, ma forse è la cosa peggiore: le probabilità sono che 'noi' non siamo i loro obiettivi. Il loro successo sarà i vulnerabili. Coloro che forse non possono davvero ricordare o sono più fiduciosi nei confronti degli estranei. 

Prevenzione

Se assumiamo che non pagheremo fatture casuali che riceviamo via email, potrebbe valere la pena usare questa opportunità per suggerire di parlare con coloro che nella tua vita sono meno esperti online. Chiedi loro se hanno bisogno di aiuto per identificare le truffe e spiega che solo perché qualcuno richiede denaro non rende la loro richiesta legittima. Dopotutto, dobbiamo prenderci cura l'uno dell'altro, e nessuno vuole vedere qualcuno cadere in una truffa ovvia. 

Ci sono risorse a cui puoi indirizzare le persone che possono guidarle in modo user-friendly.

Truffe sulle offerte di lavoro

A differenza di alcune altre, queste possono essere difficili da individuare anche per i più esperti di noi. Una ragione è che non esistono nel vuoto dell'email. Se qualcuno di noi ricevesse un'email dal nulla dicendo che abbiamo ottenuto un lavoro, sapremmo subito che è spam. Ma cosa succede se non è così che è successo?

E se la truffa iniziasse come un vero annuncio su un vero sito di lavoro? Hai fatto domanda insieme a un sacco di altri lavori reali, e sembrava altrettanto probabile come tutti gli altri. Bene, allora questa è un'email che ti aspetti — speri, persino. E, simile al spear phishing, questo crea un'opportunità più elaborata per una truffa. Perché tu sei ora un partecipante volontario — almeno, all'inizio.

Ma in cosa? Queste truffe possono assumere molteplici forme, ma essenzialmente, come gli antichi schemi piramidali del passato, chiedono denaro in anticipo sotto la copertura di coprire i costi, acquistare attrezzature o persino formazione per la posizione — e nulla di tutto ciò è reale. A volte, potrebbero esserci anche altri nel sistema che credono che sia reale e questo può suggerire legittimità dove non ce n'è.

Come individuare una truffa sulle offerte di lavoro

Ci sono alcuni indizi a cui puoi prestare attenzione quando fai domanda per lavori che potrebbero indicare che il lavoro non è legittimo:

1. Salari irrealistici — Se qualcosa è troppo bello per essere vero, probabilmente lo è.
2. Lavori vaghi o improbabili — Qualcuno avrebbe davvero bisogno o vorrebbe che qualcuno svolgesse questo ruolo?
3. Nessun colloquio necessario — O offerta di lavoro entusiasta senza la dovuta diligenza.
4. Comunicazioni non professionali — Richiesta di più dati di quanto dovrebbe essere necessario.
5. Mancanza di presenza online dell'azienda — O un'azienda il cui sito web sembra un po' sospetto. Immagini di repertorio, recensioni improbabili, nessun contenuto reale — quel genere di cose.

Allo stesso modo, non vuoi eliminare lavori legittimi solo a causa di un annuncio mal fatto. Quindi la cosa principale da cercare è chiunque chieda soldi prima di iniziare. Ci sono quasi nessun caso in cui un lavoro dovrebbe richiederti di pagare qualcosa in anticipo, tanto meno svolgere qualsiasi compito gratuitamente.

Per quanto tu sia sicuro del processo fino a quel punto, nel momento in cui si parla di trasferire denaro, stai certo — è una truffa.

Truffe romantiche

Probabilmente la manipolazione emotiva più forte di tutte: come ci sentiamo quando siamo innamorati. 

Ho esperienza personale di qualcuno su un'app di incontri che chiede di prendere in prestito denaro (che è dove questo tipo di truffa è più probabile che si verifichi al giorno d'oggi). Non è così raro come si potrebbe pensare — e in alcuni casi, potremmo avere difficoltà a persino pensare a questo come a una truffa… 

Le linee si confondono rapidamente quando i nostri cuori iniziano a governare le nostre teste. Forse una parte di noi pensa persino "forse mi stanno prendendo in giro, ma cosa sono dieci sterline quando si tratta di amore?". Ma quella persona potrebbe passare tutto il giorno sull'app di incontri. Se riescono a convincere dieci persone al giorno a donare dieci sterline, allora in realtà non è un cattivo stipendio. E sarebbe sicuramente classificato come una truffa.

Come evitare di innamorarsi di una truffa romantica

Al rischio di trasformarmi in una zia dell'agonia, non farti guidare dal tuo cuore. Se la tua testa dice che è una truffa, probabilmente lo è. Non dare mai soldi a qualcuno che non conosci bene, per quanto affermi di amarti. È un triste fatto della vita che le persone usino le estremità delle emozioni per la manipolazione. 

Truffe sui premi

La maggior parte di noi probabilmente ricorda di aver ricevuto un volantino per posta che diceva che avevamo vinto una lotteria e dovevamo chiamare un numero per reclamare il nostro premio. Suppongo fosse inevitabile che anche questo diventasse un'email. 

Non c'è molto da dire qui che non sia già stato detto negli altri punti. Forse possiamo semplicemente creare un mantra per la vita. Se un'email dice che hai vinto un premio, non hai vinto un premio*.

*A meno che tu non abbia vinto un premio. Ma decisamente non hai vinto un premio. Smetti di pensare al premio.

Prevenzione

Guarda, davvero, davvero non hai vinto un premio. Compra un biglietto della lotteria se devi — ma premi quel pulsante spam.

Proteggere te stesso e gli altri

In una nota seria, che si tratti di spam o truffa, non è davvero una questione da ridere. Le persone si fanno davvero male, perdono soldi o si sentono stupide dopo. 

Abbiamo suggerito diversi modi per proteggerti, ma si riduce davvero a tre cose:

• Abilita quanta più sicurezza possibile

Qualunque cosa offra il tuo fornitore, che si tratti di 2FA, password generate automaticamente o anche crittografia — tu lo nomini. Impostali. Rendono solo il tuo account un po' più difficile da dirottare. 

• Scegli un fornitore attento alla sicurezza

Un fornitore con un forte software di gestione dello spam e frequenti aggiornamenti di sicurezza è probabilmente la tua migliore forma di protezione continua. La maggior parte delle truffe che abbiamo delineato inizia e finisce con la gestione dello spam. Se non le vediamo mai, non sono mai un problema. 

• Tieni il dito sul polso

Le truffe di phishing non smettono mai di evolversi. Ti prendono di mira, non la tua casella di posta, quindi sei la tua migliore difesa.

Ci sono pratiche che usi per evitare di cadere nello spam e nelle truffe? Ci piacerebbe sentirle! Lascia qualsiasi pensiero o domanda nella sezione commenti qui sotto