La riga dell'oggetto era quasi irresistibile. E l'email arrivava da un'amica che sento solo ogni dieci mesi o giù di lì, quando è in città. Quindi puoi immaginare la mia preoccupazione quando ho visto il seguente messaggio:

Mi dispiace così tanto di non averti avvisato del mio viaggio. sto scrivendo con le lacrime agli occhi. Sono venuta a odessa in ucraina per una breve vacanza sfortunatamente sono stata rapinata nel parcheggio dell'albergo dove stavo. mi hanno portato via tutto contanti carta di credito e cellulare, ma per mia fortuna ho ancora il passaporto.

Sono stata all'ambasciata e alla Polizia ma non hanno risolto niente e il mio volo parte tra qualche ora ma ho problemi a saldare il conto dell'hotel. Il direttore non mi lascerà partire finché non avrò saldato il conto sto andando fuori di testa.

Potevo sentire la voce della mia amica dal testo dell'email. Anche lei ama girare il mondo e ha una predilezione per l'Europa centrale e dell'Est. È proprio il tipo da fare un salto a Odessa per un weekend lungo per vedere la celebre Scalinata Potemkin o visitare la città come tappa di un lungo viaggio intorno al Mar Nero. La scarsa punteggiatura e la mancanza di maiuscole mi avevano un po' confuso. D'altronde, era in preda al panico e rischiava di perdere l'aereo.

In altre parole, ho abboccato. Quindi ho risposto.

La lunga coda delle email trova le menti deboli

L'uso di diversi canali di comunicazione per estorcere denaro o informazioni a qualcuno ha una storia lunga e variegata. Molte di queste truffe si fondano sulla promessa di sicuri rimborsi. Quello del Principe della Nigeria è un esempio emblematico. Questa truffa è simile a quella del prigioniero spagnolo in voga nell'Ottocento, ma sfrutta generalmente i canali di posta, fax ed email nell'ambito di un piano multifase che prende di mira persone con abbastanza denaro per aiutare apparentemente qualcuno a far uscire di nascosto milioni di dollari da un paese africano, spesso la Nigeria (da qui il nome). Chi abbocca e paga le (finte) spese di trasferimento lo fa con la promessa di profitti esponenziali sugli investimenti che non vengono mai riscossi. Esistono diversi livelli di truffa. Ad esempio, un parente lontano lascia una fortuna a qualcuno che, per ottenere l'eredità, deve pagare tutte le spese legali. Ma in generale, la maggior parte delle truffe fa leva sull'avidità per suscitare interesse.

Invece, gli attacchi di phishing dell'"amico nei guai" sfruttano la buona volontà del lettore. Tutti vogliamo aiutare le persone che conosciamo e amiamo. Io sicuramente. Nel mio caso, i truffatori hanno utilizzato un malware (probabilmente un Trojan) per hackerare l'account email della mia amica e accedere ai suoi contatti. Il messaggio che ho ricevuto era indirizzato a una ventina di persone circa. Non è chiaro se gli hacker abbiano creato una lista di obiettivi usando la cronologia delle comunicazioni tra la mia amica e i suoi contatti in base alle relative aree geografiche, ma sembra probabile dato che altre truffe sfruttano tattiche simili. Ad esempio, le mailing list hackerate delle associazioni di beneficenza consentono ai truffatori di creare finte istituzioni benefiche prendendo di mira le persone che risultano più inclini a fare donazioni in base all'attività passata.

E l'email è un metodo semplice ed economico. Sottraendo o acquistando database rubati, i criminali informatici possono accedere a centinaia di migliaia di indirizzi. Con un minimo di segmentazione, hanno ottime possibilità che qualcuno abbocchi all'amo.

Test di Turing in versione amicizia non superato

Nel mio caso, la mia falsa amica ha risposto che avrei dovuto trasferire diverse migliaia di dollari su un conto Western Union a Odessa. Prima di acconsentire, le ho chiesto il nome di un amico comune che una volta era venuto a cena con noi. Ovviamente non ha saputo rispondere. Quindi ho chiamato la mia amica sul telefono fisso (in un altro paese) e le ho lasciato un messaggio per avvisarla che probabilmente il suo account email era stato hackerato.

Ora, penso di essere abbastanza intelligente per non cascare in queste truffe. Ma i criminali informatici hanno accesso agli stessi dati dettagliati a cui accedono le autorità pubbliche e le principali corporation. Inoltre, fanno pratica da decenni (a volte da secoli), quindi sanno perfettamente come influenzare al meglio anche le menti più forti. Ci sono diverse cose che puoi fare per non cadere nel loro tranello:

  • Sapere che cos'è il phishing. La consapevolezza è un passo importante verso la prevenzione. Sapere che i truffatori esistono e che possono mascherarsi da contatti attendibili è di grande aiuto per riconoscerli.
  • Sapere che cosa stanno cercando. Qualsiasi richiesta di soldi via email (o anche tramite social media) deve risultare immediatamente sospetta. Così come troppe richieste di dati personali o nomi e password degli account.
  • Fare attenzione agli indizi. Oltre alle richieste esplicite di soldi o agli accenni alla necessità di denaro, presta attenzione agli errori ortografici e grammaticali e ad altre stranezze nel testo. Quasi tutte le banche e la maggior parte delle organizzazioni commerciali o governative evitano di chiedere informazioni personali, dati di accesso o denaro via email; quindi, se queste informazioni sono incluse nella richiesta, stai all'erta.
  • Controllare l'indirizzo email. Potrebbe sembrare quello del presunto mittente, ma verifica che non manchino dei caratteri o che non ne siano stati aggiunti.
  • Non fare mai clic, non copiare, incollare o inoltrare. Nel caso di un'email anche solo remotamente sospetta, non fare clic da nessuna parte, non copiare e incollare il testo in un altro messaggio o documento e non inoltrarla. Per documentare l'email (per avvisare un amico o un'azienda), l'approccio migliore è quello di catturare una schermata.
  • Non rispondere. Io l'ho fatto, anche se mi ero accorto degli indizi. Ma la tua risposta segnala ai truffatori che presti attenzione a messaggi di questo tipo e li apri. Gli hacker prenderanno nota e con molta probabilità salveranno la tua email per un altro tentativo di truffa meglio congegnato.

I passaggi appena elencati possono non essere infallibili. Ma contribuiscono a garantire l'adozione di un approccio mentale orientato alla sicurezza.

AVG AntiVirus FREE Download GRATUITO