Phishing, un quiz per riconoscere le email truffaldine

Google, attraverso la controllata Jigsaw – realtà che si occupa di condividere con imprese, enti governativi e soggetti privati strumenti per l’analisi dei flussi di rete – ha presentato un simpatico quiz per scoprire quanto gli utenti sono abili a riconoscere e cestinare le email e le comunicazioni truffaldine.

Il phishing è un fenomeno in crescente aumento e l’invio di email con lo scopo di trarre in inganno gli utenti spingendoli a fornire dati personali e credenziali di accesso è in continuo aumento.

Già nel nostro articolo Come riconoscere email phishing di qualche anno fa avevamo presentato i migliori “trucchi” per capire quali email sono legittime e quali invece potrebbero essere state inviate da spammer e criminali informatici.

Mai gettarsi “a pesce” cliccando su un link e mai dare credito al contenuto di un’email senza averla analizzata attentamente.
È vero, infatti, che in azienda, negli uffici e gli stessi privati si appoggiano a servizi di posta elettronica che integrano un servizio di protezione antivirus e antispam ma è bene non fidarsi ciecamente di questi strumenti. Il fatto che un messaggio inviato a un account protetto con antivirus/antispam lato server (la linea di difesa è messa a disposizione dal provider dell’account di posta) arrivi a destinazione non implica automaticamente che tale comunicazione sia esente da qualunque problema e non sia un tentativo di phishing.

Spostare il puntatore del mouse su un link (senza cliccarlo) ed esaminarne la struttura aiuta subito a capire se si ha a che fare con un messaggio legittimo o con una comunicazione truffaldina. Allo stesso modo, l’analisi delle intestazioni dell’email permette di comprendere da dove è partito il messaggio: Da dove arriva una mail e chi l’ha inviata?.
Tenere presente che il mittente di un’email è banalmente modificabile (facendo credere di spedire il messaggio da indirizzi altrui, anche da quello del Presidente degli Stati Uniti d’America) è un ottimo punto di partenza. Tutte le email, a meno che non includano una firma digitale che attesti in maniera certa l’identità del mittente, possono potenzialmente pervenire da un mittente diverso da quello dichiarato.

Provate quindi il “quizzone” di Google-Jigsaw puntando il browser su questa pagina e inserendo in primis un nome utente e un indirizzo email.
Non è necessario che tali dati siano reali: nome utente e indirizzo email possono essere completamente inventati. Se si decidesse di scrivere Mario Bianchi e mario@providerfantasia.com è bene però “impersonificarsi” in questo ipotetico utente considerando le email di phishing e quelle reali come a lui dirette.

Phishing, il quiz di Google aiuta a riconoscere i messaggi fraudolenti

Il test appena realizzato e proposto da Google rappresenta secondo noi un’ottima palestra per riconoscere i messaggi di phishing e sviluppare quella sensibilità che è necessaria per districarsi tra i messaggi di posta elettronica che ogni giorno arrivano nella propria casella.

Alcuni di essi, se non si pone la dovuta attenzione, possono essere causa di problemi come perdite di dati, rivelazione a terzi di informazioni sensibili, di credenziali per l’accesso a conti bancari, di informazioni personali.

Per misurarsi subito con il quiz allestito dai tecnici di Google basta cliccare sul pulsante Take the quiz, inserire un nome e un indirizzo email (tenendo presente quanto indicato in precedenza) e analizzare con attenzione ogni comunicazione di esempio che viene presentata.
All’utente viene chiesto di riconoscere ogni attacco phishing premendo il pulsante Phishing quando si ritenesse di avere a che fare con un’email truffaldina.
Viceversa, si dovrà cliccare su Legitimate per indicare le comunicazioni legittime, esenti da qualunque problema.

Il consiglio è quello di analizzare la struttura di ciascuna comunicazione con particolare attenzione ai nomi a dominio cui fanno riferimento link e pulsanti.
Purtroppo il quiz non permette di esaminare il sorgente delle email come si farebbe con un qualunque client di posta premendo la combinazione di tasti CTRL+U ma offre comunque tanti spunti per allenare l’utente a riconoscere le email e i siti di phishing.

Al giorno d’oggi anche i dipendenti e i collaboratori aziendali dovrebbero essere sempre adeguatamente formati e informati sui rischi dello spear phishing, truffe online che prendono di mira una persona in particolare (ad esempio l’impiegato di un’azienda). Se questi ponesse in atto ciò che viene richiesto nell’email, potrebbe causare un danno all’intera impresa, specie se l’amministratore di rete non avesse posto in essere quelle misure di sicurezza minime per scongiurare furti di dati e danni gravi.

Peccato anche che il test offerto da Google non sia ancora disponibile in italiano: sarebbe stato ancora più efficace.
Interessante anche la lettura degli articoli Come trovare a chi è intestato un dominio e quali altri siti vengono gestiti e Verificare se un link è sicuro prima di aprirlo.