Riconoscere email false rientra tra i requisiti di un utente di un computer connesso a Internet: infatti la posta elettronica è lo strumento più utilizzato per comunicazioni personali e lavorativi e, di conseguenza, lo strumento più appetibile per i cybercriminali.

La ricezione di messaggi di posta elettronica dovrebbe sempre far scattare un warning, anche quando il messaggio è apparentemente inviato da un mittente noto. I programmi normalmente utilizzati per la consultazione della posta elettronica (ad esempio Mozilla Thunderbird, Microsoft Outlook, Apple Mail…), al pari dei siti di webmail, assolvono a due ruoli:

• dialogare con il server di posta elettronica per inviare e ricevere messaggi email
• trasformare graficamente il messaggio di posta elettronica in un contenuto facilmente comprensibile all’utente

L’obiettivo di chi propone l’attacco è quello di far credere al destinatario che il messaggio arrivi da un mittente a lui noto in modo da indurlo a fornire dati personali oppure a scaricare file dal contenuto malevolo (i cosiddetti malware). Pertanto ogni utente deve porsi il problema di riconoscere le email false prima di assumere per corretto il contenuto o, ancor peggio, dar seguito ad azioni come clic sugli allegati, sui link o fornire risposte.

In questo post proviamo ad insegnarvi alcune semplici regole utili a riconoscere le email false evitando di cadere nelle trappole tese via email.

Come riconoscere email false

Per riconoscere un’email falsa occorre effettuare una serie di verifiche:

• chi è il reale mittente?
• quali server sono stati attraversati?
• sono presenti dei link inattesi?

Come riconoscere il mittente di un’email falsa

Prima ancora di consultare un messaggio di posta elettronica, l’utente visiona l’elenco delle email presenti nella casella di posta elettronica.

In questo momento, apparentemente, l’utente si convince che il “Giuseppe Rossi” che risulta come mittente è proprio il collega, il fratello, l’amico, il cliente.

Molti gestori di posta elettronica sono in grado di riconoscere le email false da quelle reali analizzando i dati relativi ai server attraversati. In tal caso, il messaggio di posta elettronica viene automaticamente spostato nella cartella Spam. Tuttavia in taluni casi questo controllo può fallire e richiedere un’approfondimento manuale da parte dell’utente che utilizza la posta elettronica. Come fare?

La verifica consiste nella consultazione dell’indirizzo email mittente, e non limitarsi al solo nome mostrato nell’email. Per far ciò occorre cliccare sul nome del mittente o posizionarsi con la freccia del mouse su di esso a seconda del programma in uso. Ad esempio, in Mozilla Thunderbird occorre verificare quanto segue:

Tuttavia questo controllo potrebbe ingannare perchè l’email falsa potrebbe anche arrivare dal mittente apparentemente reale.

Molto semplice: cliccando sul tasto rispondi, senza realmente procedere all’invio dell’email, è possibile vedere a quale indirizzo di posta elettronica si sta rispondendo e quindi se effettivamente si sta rispondendo al mittente dichiarato o a un altro indirizzo.

Come riconoscere il mittente di un’email falsa dall’header

Per chi è più smaliziato tecnicamente, si potrebbe consultare l’header del messaggio di posta elettronica e verificare se è attivo il campo “Reply-to”. In tal caso il mittente è molto probabilmente diverso da quello dichiarato per cui il messaggio di posta elettronica è da considerare inaffidabile.

Inoltre, sempre nell’header, è possibile notare tutti i server attraversati e anche in questo caso, se il mittente è diverso da quello dichiarato, troverete una serie di server con dominio diverso.

Per fare un esempio, se l’email è inviata da giovanni.rossi@mittente.it è ragionevole che l’email abbia attraversato un server del tipo qualcosa.server.mittente.it mentre è probabilmente non attendibile se il server attraversato si chiama emkei.cz.

Ma non è escluso che il mittente possa essere vittima di un attacco, quindi anche in caso di esito positivo delle verifiche precedenti è opportuno qualche controllo ulteriore.

Come riconoscere di un’email falsa dal contenuto

Devono sempre destare sospetto le email che nel contenuto presentano

• Riferimenti ad aziende o persone note scritte male o con errori di battitura, specie se palesemente riconducibili a traduzioni automatiche: ad esempio “Garantiamo sicureza di tuo pagamenti” è una frase che lascia spazio a pochi dubbi, specie se in oggetto
• Pubblicità o richieste personali non desiderate o da soggetti ignoti
• Richieste di denaro, da chiunque! Se la richiesta arriva da un fornitore effettuare sempre una verifica con un altro mezzo, ad esempio telefonando e chiedendo conferma di importo e modalità di pagamento
• Richieste di credenziali e password, mai nessuno vi chiederà tali dati in maniera legittima. Diffidate anche se l’email arriva apparentemente da una persona molto vicina (ad esempio un genitore, il cugino, il collega di scrivania)
• Richieste di denaro insolite da fornitori noti: ad esempio quando si chiede di effettuare il bonifico su un altro IBAN perchè il fornitore deve effettuare un’operazione con l’estero. Quando un fornitore noto segnala un IBAN diverso verificare con altro mezzo (ad esempio telefonicamente) se la richiesta è legittima
• Promesse di denaro o facili guadagni
• Riferimenti a paesi lontani che non hanno a che fare con la vostra vita o con il vostro business, ad esempio la Nigeria

Come riconoscere di un’email falsa dai link

La presenza di link all’interno dell’email deve sempre destare sospetto, specie se l’interlocutore non si avvale normalmente di questa soluzione.

Fate quindi sempre molta attenzione a tutte le email con link e apriteli solo se siete sicuri del mittente e soprattutto se erano attesi: ad esempio, l’amico che ci condivide le foto delle vacanze su Dropbox e ci informa tramite whatsapp che ci ha inviato l’email.

In ogni caso, mai cliccare su link che non portino sul dominio atteso: ad esempio, se in un’email di Bancoposta trovassimo un link che porta a www.bankoposta.it è pressocchè certo che siete stati in grado di scoprire un’email falsa. Infatti nel sito di destinazione vedete la K invece della C e quindi quell’email sta probabilmente tentando di carpire le vostre informazioni bancarie.

Come riconoscere di un’email falsa dagli allegati

Per gli allegati valgono le medesime considerazioni fatte per i link: mai aprire gli allegati se non siete sicuri del mittente, se non eravate in attesa di un allegato e se l’allegato è un eseguibile (può essere un software malevolo) con estensione .exe oppure un file con estensione .pif o .scr.

Inoltre, anche dai mittenti noti, prestate attenzione alle anomalie: molte truffe avvengono a mezzo email modificando i file allegati, ad esempio l’IBAN sul quale fare il bonifico.

Quindi anomalie negli allegati dovrebbero indurvi a classificare l’email come truffaldina o potenzialmente falsa: verificare sempre con il mittente utilizzando un altro canale diverso dalla posta elettronica.

Sono stato vittima di una truffa via email, cosa devo fare?

Se hai subito una truffa via email la prima cosa da fare è smettere di usare l’email per transazioni di denaro, quindi avvisare i vostri interlocutori per evitare che si ripeta.

Poi è opportuno procedere con un’analisi dell’infrastruttura di rete e dei sistemi informatici coinvolti per capire lo stato di salute dalla vostra rete e dei vostri computer.

BIT4LAW può aiutarvi a

• effettuare monitoraggio della rete per verificare se sono presenti dati in transito non desiderati
• eseguire un’analisi forense dei PC per verificare se ci sono macchine infette o, peggio, dei dipendenti infedeli che hanno facilitato la commissione della truffa
• analizzare l’organizzazione e le procedure aziendali, i regolamenti e i disciplinari interni al fine di apportare le modifiche per ridurre il rischio di commissione di reati
• realizzare un piano di incident response per esser pronti in caso di ripetizione dell’evento

Contattaci per un preventivo gratuito.