L'ascesa delle e-mail false: Come identificare e proteggersi

Prima di comprendere i danni delle e-mail false, è importante essere in grado di identificarne una quando la si vede nella casella di posta.

Un'e-mail falsa si riferisce fondamentalmente a e-mail contraffatte o fraudolente che vengono inviate con l'obiettivo di ingannare il destinatario.

The purpose varies greatly according to each type of fake email, and can seek out personal and confidential information for financial scams, install malware (viruses) on the recipient's device or even direct them to fake websites to buy products at strangely attractive prices.

Come riconoscere un'e-mail falsa?

Ogni e-mail falsa presenta alcune caratteristiche fondamentali che, se osservate correttamente, vi proteggeranno dal rischio di diventare vittime di qualche truffa. Diamo un'occhiata:

  • Mittente sospetto: controllate che il nome del mittente non presenti caratteri strani o errori di ortografia.
  • E-mail non ufficiali: diffidate dei mittenti di e-mail che non utilizzano domini ufficiali (come "gmail.com", o grafie diverse, come "SafetiMaills.com" - "Invece di SafetyMails.com", o "SafetyMails.Superdesconto.com";
  • Richieste inappropriate: le e-mail non devono mai chiedere dati personali, come password, numeri di carte di credito o dati bancari, tra gli altri;
  • Ortografia: sembra ovvio, ma le e-mail fraudolente di solito non tengono conto della qualità dell'ortografia. Di solito presentano errori grossolani nell'oggetto o nel nome del mittente, ad esempio;
  • Link accorciati: i collegamenti ipertestuali che utilizzano servizi di accorciamento (come bit.ly) potrebbero mascherare la destinazione finale. Non cliccate.
  • Link mascherati: molti collegamenti ipertestuali sono posizionati su parole (dove non è possibile vedere l'URL completo). Per semplificare le cose, basta passare il puntatore del mouse sul collegamento ipertestuale e il gioco è fatto: si vedrà visualizzato l'URL di destinazione e si saprà se è affidabile o meno.
  • Urgenza: le e-mail che chiedono di agire immediatamente, con urgenza, sono sospette;
  • Allegati: le e-mail con allegati possono essere pericolose. Le agenzie governative, in particolare le autorità fiscali e i negozi di e-commerce, non inviano mai e-mail con allegati. Non aprite questo tipo di file, tranne nei casi in cui il mittente è ben conosciuto e affidabile.
  • Promesse irrealistiche: avete presente quel prodotto da 1.800 dollari che viene offerto in un "lotto speciale" a 400 dollari? Scappate!
  • Design e formattazione: questi tipi di e-mail hanno solitamente un layout scadente, con immagini di bassa qualità, spesso cercando di assomigliare a qualche sito web famoso.

Suggerimenti utili per identificare un'e-mail falsa

Ecco altri 2 consigli infallibili, che però richiedono un po' più di abilità e conoscenze tecniche per individuare un'e-mail falsa.

Data di pubblicazione del sito: molti siti di vendita falsi, che promettono prodotti a prezzi troppo invitanti, vengono creati solo per lo scopo della truffa e poi abbandonati. Vendono e non si fanno più sentire. Diffidate quindi dei siti pubblicati troppo di recente.

E come lo sai?

Per i siti in Brasile (.com.br), andare a https://registro.br/tecnologia/ferramentas/whois/. Per i siti su altri domini, andare a https://who.is/.

ricerca del nome di dominio su who is website

Digitare il dominio da ricercare e vedere i risultati.

Chi è il risultato della ricerca per Informazioni sul dominio

Autenticazioni e-mail: per essere inviati e ricevuti dai provider di posta elettronica, i messaggi devono passare attraverso alcune autenticazioni di sicurezza, come SPF, DKIM e DMARC.

È possibile scoprire, utilizzando qualsiasi webmail, se queste autenticazioni sono funzionali e appropriate in un'e-mail.

In Gmail, ad esempio, basta aprire il messaggio e cercare l'icona "più" (quella con i 3 punti) e cercare nel menu l'opzione "<> Mostra originale".

Esempio di un'e-mail falsa

Ovviamente, ogni webmail avrà il proprio modo di identificare se le autenticazioni funzionano. Ma sapere questo è già un consiglio d'oro, non è vero?

Tipi di e-mail false

Ora che sapete come identificare un'e-mail falsa e come evitarla, è il momento di scoprire i tipi più comuni di e-mail false che potete trovare nella vostra casella di posta.

Statistiche sui diversi tipi di e-mail di spam da mailmodo
Fonte: mailmodo

Phishing

Si tratta di messaggi fatti passare per e-mail inviate da una fonte legittima, come una banca o un'azienda di e-commerce o di tecnologia. L'obiettivo è ottenere informazioni personali come password o numeri di carte di credito.

In molti casi, questa falsa e-mail viene integrata con dati ottenuti pubblicamente dal destinatario (come il nome della persona, l'azienda in cui lavora e il suo titolo di lavoro, ad esempio, che possono essere facilmente ottenuti dai social network), al fine di conferire maggiore credibilità al messaggio.

Whaling

Si tratta di un tipo di phishing più elaborato, rivolto a persone di alto profilo, come dirigenti o responsabili di aziende. Questo tipo di e-mail false cerca di parlare di questioni legali o critiche per i dirigenti, richiedendo una risposta immediata.

Tra gli esempi vi sono i messaggi relativi a tasse scadute, entrate federali, avvisi extragiudiziali, ecc.

Scam

Queste false e-mail mirano a frodare i destinatari convincendoli a inviare denaro o ad accedere a link che portano a false offerte. Di solito, dopo un primo approccio, quando il destinatario risponde, il truffatore inizia a parlare di opportunità e chiede denaro per avviare qualche processo o procedura che genererà una grande somma di denaro come ricompensa.

Malware

Se vogliamo parlare di un tipo di email false estremamente dannose, eccole: queste email prevedono l'invio di messaggi di massa con link che, una volta cliccati, installano software dannosi che possono, tra l'altro, essere utilizzati per la gestione delle email:

  • registrare, attraverso un keylogger, tutti i tasti premuti per rubare informazioni riservate (come password di e-mail, password bancarie, ecc.);
  • installazione di ransomware, un tipo di software che cripta i file sul dispositivo del destinatario (PC, notebook, smartphone, tablet, ecc.) e chiede un riscatto per il loro rilascio.

SPAM

Forse il tipo meno dannoso di e-mail false, le e-mail di spam comportano l'invio in massa di messaggi non richiesti, solitamente a scopo pubblicitario, a destinatari che non hanno chiesto di riceverli.

Tuttavia, esistono casi di spam che contengono malware o tecniche di phishing. Rimanere vigili è essenziale.

Ogni tipo di e-mail falsa ha caratteristiche e metodi propri, ma tutti condividono l'obiettivo di ingannare il destinatario.

Le e-mail usa e getta sono e-mail false?

Di norma, le e-mail usa e getta (o e-mail temporanee) non sono e-mail false, poiché il loro scopo principale è quello di dare all'utente la possibilità di avere un account e-mail per un breve periodo di tempo prima di essere scartato o cancellato.

Gli obiettivi di questo tipo di e-mail comprendono:

  • Temporanei: sono configurati per esistere solo per un periodo di tempo
  • Anonimo: non si sa chi sia la persona che si nasconde dietro quell'indirizzo e-mail e non richiede alcuna informazione personale per crearlo.
  • Convenienti: possono essere creati rapidamente per un uso immediato, una tantum

Gli usi più comuni includono:

  • Servizi di test: utilizzati per iscriversi a forum o ambienti online in cui l'indirizzo e-mail è esposto;
  • Prevenzione dello spam: utilizzati una sola volta, aggirano i tradizionali processi di verifica delle e-mail e impediscono l'invio di messaggi futuri.

TUTTAVIA, questo tipo di e-mail può rappresentare un pericolo e un canale per gli abusi, come ad esempio:

  • Potenziale di abuso: possono essere utilizzati in modo inappropriato per aggirare i controlli di sicurezza, per iscriversi ripetutamente a servizi con offerte limitate ai nuovi utenti o per inviare messaggi anonimi che potrebbero essere malevoli
  • Frode: l'utilizzo di un'e-mail falsa su un sito di e-commerce, insieme a una carta di credito falsa, rende gli acquisti fraudolenti difficili o impossibili da rintracciare.

Suggerimento per le aziende che vogliono evitare le iscrizioni via e-mail usa e getta

Se volete evitare email usa e getta, email temporanee o email false durante la registrazione a landing page, siti web e così via, utilizzate l'API di verifica delle email in tempo reale di SafetyMails.

Aprite subito un account gratuito e provate le funzioni!

Evitare i rimbalzi

Caricare e verificare più di 2 milioni di indirizzi e-mail in una volta sola: se avete a che fare con liste di e-mail di grandi dimensioni,
è estremamente importante controllarle frequentemente.

Registratevi gratuitamente

Danni causati da false e-mail alle aziende

Oltre ai danni che le e-mail false causano ai singoli, anche le aziende risentono delle azioni di questo tipo di messaggi dannosi, a più livelli.

Partendo dalle perdite finanziarie, i dipendenti disattenti possono finire per pagare fatture illegittime, come nel caso seguente, in cui un truffatore cerca di spacciarsi per registro.br:

Il mittente dell'e-mail sta chiaramente cercando di spacciarsi per registro.br e di richiedere una quota annuale per un dominio Internet.

Punti da notare

  • il layout dell'e-mail non proviene chiaramente da registro.br
  • l'importo della presunta fattura è molto più alto di quello che viene normalmente pagato
  • la data di scadenza è lo stesso giorno in cui è stata inviata l'e-mail (richiede un pagamento urgente)
  • il mittente non ha alcuna possibilità di essere reale

Il secondo danno è direttamente collegato alla reputazione dell'azienda. Un'e-mail falsa può portare al furto di dati personali e sensibili, alla criptazione di database, ecc. con conseguenti perdite finanziarie, la segnalazione dell'incidente all'Autorità nazionale per la protezione dei dati, nonché la necessità di pubblicizzare l'incidente.

In questo modo, la credibilità dell'azienda viene scossa, erodendo il rapporto con i clienti attuali e causando ostacoli nella relazione e nell'analisi della conformità dei nuovi clienti. Questo tipo di danno è estremamente costoso da recuperare.

A seconda dell'entità del problema, ciò potrebbe comportare pesanti multe da parte degli enti normativi, oltre a possibili spese legali.

Il terzo problema può essere considerato un misto dei primi due, in quanto comporta l'interruzione delle operazioni. When a fake email results in a successful attack, it can compromise vital systems, which will need to be shut down to mitigate problems. This potential business interruption can lead to financial losses and damage to customer relations, as well as requiring additional operating costs.

Per questo motivo, è estremamente importante che le aziende lavorino costantemente alla maturazione delle proprie politiche e azioni di protezione dei dati e della privacy, con l'adozione di software, tecnologie e pratiche di protezione, la mappatura dei propri fornitori, la formazione costante dei propri team in termini di consapevolezza e di pratiche sicure (come la clean desk policy, ad esempio, l'accesso con livelli separati, il controllo dei dispositivi mobili, le reti protette, ecc).

Email false ed elezioni: una minaccia per le democrazie

Durante le elezioni, l'integrità e la trasparenza del processo sono essenziali. Dopo tutto, stiamo parlando del futuro di una nazione.

Quando la società parla di "fake news", spesso nella mente delle persone è strettamente associata ai social network e alle app di messaggistica come Whatsapp e Telegram. Tuttavia, gli SMS, le e-mail e persino il volantinaggio sono canali attraverso i quali questo tipo di pratica può essere portata avanti.

Nella sfera digitale, le e-mail false possono essere uno strumento altamente distruttivo quando si tratta di elezioni. È un modo per distribuire in modo incontrollato informazioni false a un gruppo di destinatari molto specifico, poiché è possibile non solo sapere chi sarà il bersaglio, ma anche monitorare il comportamento di ogni persona in relazione a questi contenuti.

Tra i danni delle e-mail false nei processi elettorali, possiamo citare:

  • Diffusione di disinformazione: politici o candidati malintenzionati e i loro consulenti possono diffondere informazioni false sugli avversari, dalle false accuse ai risultati distorti dei sondaggi elettorali, alle informazioni errate sui seggi elettorali, ecc.
  • Manipolazione dell'opinione pubblica: l'invio di questo tipo di false e-mail con informazioni sprezzanti o false su persone o sondaggi elettorali, diffondendo teorie cospirative, può influenzare i destinatari a modificare la loro percezione dei candidati, portando a un cambiamento delle intenzioni di voto e persino a screditare il processo elettorale nel suo complesso.
  • Impatto sui risultati elettorali: l'impatto di queste false e-mail può essere così profondo da finire per alterare il corso di un'elezione, scoraggiando la partecipazione degli elettori e influenzando l'affluenza.

Lotta alle e-mail false: tecnologie emergenti

Ovviamente, il mercato non sta chiudendo gli occhi di fronte a questo scenario minaccioso. Al contrario. Le e-mail false sono un fenomeno che è stato monitorato attentamente per decenni e sono state adottate molte misure di sicurezza.

Vediamone alcuni:

  • Sistemi di autenticazione robusti: DMARC, DKIM e SPF, che sono protocolli di sicurezza delle e-mail che aiutano a verificare che i mittenti siano chi dicono di essere e assicurano che le e-mail non siano state alterate durante il transito;
  • Filtri email avanzati: ci sono filtri basati sull'analisi contestuale, che analizzano chi invia, quando, come e quanto spesso, e qual è il comportamento del destinatario con queste email. Inoltre, esistono filtri comportamentali, che tracciano le azioni dei destinatari (come la segnalazione di un'e-mail come spam o la cancellazione non letta), aiutando l'algoritmo del provider a migliorare le sue protezioni contro il phishing;
  • Intelligenza artificiale: sistemi che stanno diventando capaci di creare algoritmi avanzati di indagine sulle e-mail false che analizzano il testo delle e-mail alla ricerca di segnali come l'urgenza esagerata, gli errori grammaticali tipici e altri indicatori di frode;

Misure chiave contro le e-mail false: formazione e informazione

Le tecnologie servono a semplificare la vita delle persone, questo è un dato di fatto. Ma non possono fare tutto il lavoro. L'intelligenza umana deve essere il fattore più importante nel processo decisionale.

Ecco perché l'educazione digitale è un potente strumento di difesa contro il crescente numero di e-mail false.

Nelle scuole

Fin dalla più tenera età, gli alunni vengono introdotti in un universo che è ormai fondamentalmente digitale: smartphone, social network, acquisti online, carte digitali, pagamenti di prossimità.

È necessario educarli alla sicurezza in Internet fin dalla più tenera età. E questo non significa solo parlare dei famosi antivirus, ma anche prestare attenzione alla registrazione e all'uso delle password, all'uso delle impronte digitali, alla cautela nell'accesso a determinati tipi di siti web, ecc.

In questo caso, è ancora più importante sottolineare la sicurezza contro le e-mail false, poiché i giovani sono così connessi ai social network che finiscono per immaginare che l'e-mail sia una tecnologia superata, mentre è estremamente utile e richiesta, soprattutto nella vita da consumatore attivo e nella vita professionale adulta.

Nelle aziende

Fin dal momento dell'assunzione, i dipendenti devono essere istruiti e introdotti alla realtà della privacy e della protezione dei dati, anche per quanto riguarda l'uso delle loro caselle di posta elettronica, sia professionali che personali, proteggendo l'infrastruttura aziendale dalle e-mail false e dai danni che esse provocano.

Creare una cultura della sicurezza:

Creare una cultura della sicurezza

Workshop e webinar: si potrebbero creare ambienti di e-learning con i contenuti più basilari sulla sicurezza delle informazioni e sulle politiche aziendali, seguiti da una formazione ricorrente faccia a faccia o a distanza per tutti i membri del team su base annuale come metodo di aggiornamento;

Adozione di politiche chiare in materia di privacy, protezione dei dati e sicurezza delle informazioni: documenti ufficiali che contengono tutte le linee guida dell'azienda per evitare problemi e stabilire parametri su cosa fare in caso di dubbi o incidenti, con la consapevolezza di tutti i dipendenti;

Lista di controllo contro le e-mail false

Tenendo conto della vostra praticità quotidiana, abbiamo messo a punto questa breve lista di controllo da utilizzare ogni volta che lo riterrete necessario. Utilizzatela nelle vostre lezioni, nei corsi di formazione e ovunque vogliate.

Punteggio di attenzione: 0
Informazioni sul mittente
È noto?
In caso contrario, indagare
Contenuto
Ci sono errori grammaticali?
Se sì, fate attenzione
Ha un senso di urgenza esacerbato?
Se sì, fate attenzione
Quando passate il mouse sui link, vi sembrano strani?
Se sì, fate attenzione
Il dominio che appare sui link è diverso da quello del mittente?
Se sì, fate attenzione
Allegati
L'e-mail contiene allegati?
Se sì, assicuratevi che il mittente sia conosciuto!
L'allegato all'e-mail è stato richiesto?
In caso contrario, non aprire l'allegato
Sicurezza
Avete installato un antivirus?
In caso contrario, evitare di aprire gli allegati
Avete controllato SPF, DKIM e DMARC?
In caso contrario, verificare se si hanno ancora dubbi sul mittente
Dopo tutto questo, avete ancora dei dubbi?
In tal caso, cercate di utilizzare mezzi di conferma alternativi, come un messaggio whatsapp o una telefonata (se lo conoscete).
Punteggio di attenzione: 0

Using technologies such as anti-spam, best practices, artificial intelligence, user training and continuing digital education for people, teaching about fake email and promoting better policies to protect personal and business information.