Attacchi phishing: analizziamo una mail per imparare a individuarli
Qualche giorno fa una nostra collega ha ricevuto questa mail dal nostro CEO, e le sono bastati pochi secondi per capire che si trattava di un attacco phishing.
Da: Hector Plum
Inviato: venerdì 5 novembre 2021 08:59
A: Joanna Scarlett – CLUE&DO srl
Oggetto: EMERGENZACiao Joanna
Sto entrando in una riunione a porte chiuse in questo momento, e Ho bisogno che tu svolga un compito breve ma urgente. Rispondi con il il tuo numero di cellulare e attendi il mio messaggio. Grazie
Vediamo quali sono stati gli elementi che hanno immediatamente fatto accendere a Francesca la lampadina di allarme, e capiamo in che modo difenderci.
1. La richiesta urgente
Un’email che invoca un’emergenza spesso ci spinge a agire senza pensarci troppo. Ma in questi casi, è meglio prendersi un momento per riflettere e, se necessario, chiedere consiglio a un collega più esperto..
2. “In riunione”
L’attaccante cerca di evitare una verifica telefonica affermando di essere in una riunione. Dubbio lecito.
3. Cambio del canale di comunicazione
Se qualcuno chiede il tuo numero di cellulare o sposta la conversazione su un’app diversa, come WhatsApp, questo dovrebbe sollevare un dubbio. Attenzione: non sempre è necessario che tu fornisca il tuo numero, perché l’attaccante potrebbe già conoscerlo (quante volte ci registriamo su siti vari rilasciando tante informazioni utili a questi scopi?).
4. Differenze nell’aspetto dell’email:
Se noti discrepanze nella firma, nei saluti o nel tono rispetto alle solite comunicazioni, sii cauto. Occhio: l’attaccante potrebbe avere accesso a messaggi precedenti perché ha compromesso un PC o una mailbox di un corrispondente. In questi casi capire se il messaggio è fraudolento è più difficile.
5. La prova definitiva
A questo punto dovremmo già essere in grado di capire che la richiesta è quantomeno strana e richiede una conferma prima di processarla. Se ancora non ti si fosse acceso il campanello d’allarme, ricorda che il nome visualizzato in un’email può essere contraffatto.
Puoi verificare l’indirizzo effettivo cliccando su “Inoltra” e consultando le intestazioni.
In questo caso possiamo vedere che Hector Plum è solo il display name, cioè il nome mostrato.
Da: Hector Plum <fakunleolaniyi9918@gmail.com>
La parte in giallo è il display name e può essere “spoofata” cioè contraffatta.
Quindi chi risponde credendo di parlare con Hector Plum, in realtà invia la mail all’indirizzo fakunleolaniyi9918@gmail.com.
Se vuoi vedere più informazioni su un messaggio che ricevi, prima di rispondere puoi fare INOLTRA e leggere le intestazioni che normalmente sono offuscate:
Da: Hector Plum <fakunleolaniyi9918@gmail.com>
Inviato: venerdì 5 novembre 2021 08:59
A: Joanna Scarlett – CLUE&DO srl <scarlett@clue&do.it>
Oggetto: EMERGENZA
Se rispondi a questo tipo di mail senza accorgerti del tranello, l’attaccante potrebbe tentare ulteriori inganni, come richiedere pagamenti segreti oinformazioni riservate. Non è impossibile cadere in queste trappole.
Quindi, rifletti sempre prima di agire e non avere paura di chiedere consiglio. La sicurezza informatica è fondamentale.