
Cos'è un'e-mail di phishing? Come riconoscere una truffa via e-mail
Un'email di phishing è un messaggio fraudolento progettato per ingannare i destinatari e indurli a rivelare informazioni sensibili come password o numeri di carte di credito. Queste email spesso imitano fonti legittime, come banche o siti web popolari, per sembrare credibili. Mirano a sfruttare la fiducia delle persone in queste istituzioni, persuadendoli a fornire informazioni personali, cliccare su link dannosi o scaricare allegati contenenti malware.
Indicatori chiave di email di phishing includono saluti generici, errori ortografici e grammaticali (anche se non sempre), e linguaggio urgente o minaccioso che spinge il destinatario ad agire rapidamente.
Link o allegati sospetti e indirizzi email del mittente che non corrispondono all'organizzazione legittima che sostengono di rappresentare sono anche segni distintivi. Inoltre, le richieste di informazioni sensibili, che le organizzazioni legittime tipicamente non chiedono via email, sono un campanello d'allarme.
Esempi di email di phishing: cosa non far ingannare
Truffe con PayPal
Questa truffa consiste in e-mail che sembrano provenire da PayPal, spesso con loghi e formattazioni convincenti. Le e-mail di solito affermano che c'è un problema con il conto del destinatario e gli chiedono di cliccare su un link per verificare o aggiornare le informazioni del conto. Il link conduce a un falso sito web di PayPal, progettato per sembrare autentico, dove le vittime inseriscono inconsapevolmente le proprie credenziali di accesso, che vengono poi rubate dai truffatori. Per altri esempi, visitate questo post.
Re: [Importante] - Il tuo account è stato temporaneamente limitato. Il tuo account è stato limitato fino a quando non avremo notizie di te. Mentre il tuo account è limitato, alcune opzioni del tuo account non saranno disponibili.

IRS / truffe sui rimborsi fiscali
In questo attacco di phishing, le persone ricevono e-mail che sembrano provenire dall'Agenzia delle Entrate. Le e-mail spesso creano un senso di urgenza, sostenendo che c'è un problema con le tasse o la dichiarazione dei redditi del destinatario. Di recente abbiamo scritto delle truffe dell'IRS con il malware Emotet, ma è solo un esempio. Il tema comune delle e-mail di phishing dell'IRS è che queste e-mail chiedono tipicamente informazioni personali e finanziarie, con la scusa di risolvere il problema. Tuttavia, l'IRS non contatta i contribuenti tramite e-mail per richiedere informazioni personali o finanziarie.

IRS Online Center - IRS Tax Forms W-9: Fatemi sapere se desiderate che vi venga spedita anche una copia cartacea. Rispettivamente, [SIC] Barbara LaCosta, Ispettore, Dipartimento del Tesoro
Truffe su Google Docs
Questa truffa consiste in e-mail che invitano i destinatari a visualizzare un documento su Google Docs. L'e-mail può sembrare provenire da una persona conosciuta, il che fa parte dell'inganno. Facendo clic sul link contenuto nell'e-mail non si accede a una vera pagina di Google Docs, bensì a un sito Web dannoso che potrebbe essere progettato per rubare le credenziali dell'account Google o installare malware sul computer della vittima. Abbiamo scritto dell'attacco di Google doc infostealer. In genere l'e-mail ha l'aspetto di una persona che sta cercando di collaborare con voi, ma se non vi aspettavate un'e-mail del genere, il consiglio migliore è quello di evitare di cliccarci sopra.

Truffe dell'assistenza tecnica
Queste e-mail di phishing possono tentare di farvi cliccare su una finestra pop-up che sembra un messaggio di errore, ad esempio da FTC.gov, come questo:

Minacce rilevate: Fare clic o chiamare immediatamente se sono state rilevate attività sospette.
Truffe sui social media
I social media sono una fonte inesauribile di truffe per gli utenti e per ottenere i loro dati personali. Una persona su quattro che ha dichiarato di aver perso denaro a causa di una frode dal 2021 ha dichiarato di averla subita sui social media. Nello stesso periodo, le perdite segnalate a causa di truffe sui social media hanno raggiunto l'incredibile cifra di 2,7 miliardi di dollari, molto più alta di qualsiasi altro metodo di contatto.
Gli hacker possono facilmente clonare i profili di utenti reali o entrare nel vostro profilo, fingere di essere voi e truffare i vostri contatti. I truffatori possono fingere di inviare un'e-mail ufficiale dalla piattaforma, invitandovi ad effettuare il login per attivare una funzione o per reimpostare il vostro profilo. Su LinkedIn, gli utenti riferiscono spesso di aver ricevuto e-mail sospette da potenziali datori di lavoro:

Sono estremamente difficili da identificare, quindi tenete d'occhio qualsiasi bandiera rossa come errori di battitura, richieste e informazioni di contatto insolite, nonché richieste urgenti di cliccare su allegati e/o link.
Truffe di phishing bancario
Questi messaggi sembrano note ufficiali delle vostre istituzioni finanziarie. Tuttavia, si può facilmente riconoscere una truffa se riportano transazioni inesistenti o chiedono informazioni personali. Non cliccate su questi link per compilare questi moduli fraudolenti. In caso di dubbio, contattate la vostra banca per confermare la questione descritta nell'e-mail. Abbiamo descritto le truffe bancarie in modo più approfondito qui.

Email di phishing dell'USPS o dell'UPS, ad esempio "il pacco non è stato consegnato".
Queste e-mail sembrano provenire dal servizio di consegna della posta, come USPS o UPS. Vi chiedono di inviare informazioni personali perché "il pacco non è stato consegnato". Resistete a cliccare su qualsiasi link e ad accedere ai siti fraudolenti per inviare le vostre informazioni personali. Fate attenzione agli errori di battitura e ad altri segnali di pericolo. Date un'occhiata ad alcuni esempi di e-mail di phishing di UPS (fonte: https://www.ups.com/assets/resources/webcontent/en_US/fraud_email_examples.pdf):


USPS ha condiviso alcuni video su come individuare un'email phishing di USPS qui: https://www.uspis.gov/news/scam-article/fake-usps-emails

Temi comuni delle email di phishing
Le email di phishing, progettate per ingannare i destinatari e indurli a divulgare informazioni sensibili, spesso condividono temi comuni:
- Urgenza: Molte email di phishing creano un senso di urgenza, spingendo ad agire rapidamente. Potrebbe essere un avviso che il tuo account verrà chiuso, una minaccia di azione legale o un'offerta limitata nel tempo.
- Richieste di dati personali: Queste email chiedono frequentemente dettagli personali come password, numeri di previdenza sociale, informazioni sui conti bancari o numeri di carte di credito.
- Link o allegati sospetti: Le email di phishing contengono spesso link o allegati che il mittente ti invita a cliccare o aprire. Questi possono portare a siti web dannosi o scaricare malware sul tuo dispositivo.
- Informazioni del mittente falsificate: Le email di phishing possono sembrare provenire da fonti legittime, come banche, agenzie governative o aziende rinomate. Spesso imitano l'aspetto e il tono delle comunicazioni ufficiali.
- Errori grammaticali e ortografici: Anche se non sempre è così, molte email di phishing contengono errori di ortografia e grammatica evidenti.
- Messaggi minacciosi o allarmanti: Alcuni tentativi di phishing usano l'intimidazione, come la minaccia di una multa o l'accusa di attività illegali, per provocare una reazione.
- Offerte che sono troppo belle per essere vere: Possono promettere guadagni inaspettati, come vincere una lotteria o ricevere un'eredità da un parente lontano.
- Richieste non sollecitate: Le email di phishing spesso arrivano senza preavviso e possono riguardare un servizio o prodotto che non hai mai utilizzato o un account che non hai mai aperto.
Riconoscere questi temi può aiutarti a identificare e evitare di cadere vittima di truffe di phishing.
Perché le email di phishing sono pericolose?
I pericoli delle email di phishing sono significativi. Possono portare a furto di identità, perdite finanziarie e infezioni da malware. Le vittime possono subire transazioni non autorizzate, perdita di controllo sui propri conti personali e danni a lungo termine alla propria valutazione creditizia. L'impatto personale di queste minacce include stress, perdita della privacy e potenziali problemi legali se la propria identità viene usata per attività illegali.
Cosa succede se si apre un'e-mail di phishing?
Aprire un'email di phishing di per sé generalmente non è sufficiente per compromettere il tuo computer con virus o malware. Questi elementi dannosi vengono di solito attivati quando si scarica un allegato o si clicca su un link all'interno dell'email. Tuttavia, aprire l'email può avvisare il mittente che il tuo indirizzo email è attivo, potenzialmente portando a ulteriori tentativi di phishing. È fondamentale rimanere vigili e evitare di interagire con qualunque contenuto sospetto all'interno di tali email.
Hai cliccato su un link di phishing? Ecco cosa fare
Resta Calmo: Non andare nel panico, ma agisci immediatamente.
- Disconnetti: Disconnetti il tuo dispositivo da internet per prevenire danni ulteriori o furto di dati.
- Scansiona per virus e malware: Esegui una scansione antivirus gratuita qui.
- Cambiate le password di tutti i vostri account: Email, social media, applicazioni bancarie, qualsiasi login vi venga in mente. Se avete bisogno di suggerimenti per una password forte, date un'occhiata al nostrogeneratore di password.
- Monitorare l'esposizione al dark web: ecco un ottimo strumento - digital footprint scan.
Cosa succede se rispondi a un'email di phishing?
Rispondere alle email di phishing è rischioso per diversi motivi evidenti. Anche se sai che è un'email falsa, rispondere può causare ulteriori problemi. La maggior parte degli attacchi di phishing sono eseguiti automaticamente e quando rispondi, entri nel radar del truffatore. Ricorda, questi cybercriminali sono spesso coinvolti in attività illegali e possono essere dannosi.
In primo luogo, se rispondi a un'email di phishing, dai involontariamente al truffatore la tua firma elettronica personale o aziendale. Questa firma solitamente include numeri di telefono e altri dettagli che il truffatore può utilizzare per creare email false più convincenti per ingannare te e altri.
In secondo luogo, quando rispondi, informi il truffatore che la tua email è in uso. Questo ti rende un bersaglio più grande per futuri tentativi di truffa. Il tuo indirizzo email potrebbe persino essere venduto ad altri cybercriminali.
Infine, i dettagli tecnici della tua email possono rivelare la tua posizione. Questo significa che i truffatori possono capire dove ti trovi, aumentando il rischio.
Segnala un'email di phishing
Segnalare tentativi di phishing è un passo critico per proteggere te stesso e gli altri dalle truffe online. La Commissione Federale per il Commercio, un'agenzia governativa statunitense responsabile della protezione dei consumatori, offre una piattaforma per gli individui per segnalare il phishing. Questo aiuta a rintracciare e ridurre tali truffe.
Per segnalare un incidente di phishing:
- Se hai ricevuto un'email di phishing, puoi inoltrarla al Gruppo di Lavoro Anti-Phishing al loro indirizzo email, reportphishing@apwg.org.
- In caso di phishing via SMS, inoltra il messaggio al numero 7726, che corrisponde a 'SPAM' sulla maggior parte delle tastiere telefoniche.
- Infine, puoi anche segnalare il tentativo di phishing direttamente alla FTC. Questo può essere fatto attraverso il loro sito web, ReportFraud.ftc.gov.
Ogni segnalazione contribuisce alla lotta contro queste attività fraudolente, aiutando la FTC e altre organizzazioni a rintracciare e fermare i truffatori.
Esistono conseguenze legali per chi invia email di phishing?
I mittenti delle email di phishing affrontano conseguenze legali secondo varie leggi a tutela dei consumatori. In molti paesi, il phishing è considerato un reato penale e i colpevoli possono essere perseguiti per frode, furto di identità e crimini informatici. Le pene variano in base alla giurisdizione, ma possono includere multe sostanziali e prigionia.