Sabato 30 gennaio su Repubblica Corrado Augias ha risposto nella sua rubrica quotidiana a una lettera inviata da una lettrice. Nel suo commento Augias ha raccontato il suo sbigottimento per una email che lui stesso aveva ricevuto da ENEL e in cui, con un misto di italiano e inglese pieno di errori, gli veniva chiesto di inserire la sua password per ottenere un rimborso di circa 90 euro a cui aveva diritto. Augias non si era probabilmente accorto che l’email ricevuta non arrivasse da ENEL – la grande azienda italiana che distribuisce gas ed energia elettrica e con cui molti hanno rapporti di servizio – ma da qualcuno che stava cercando di ottenere con l’inganno, spacciandosi per ENEL, informazioni riservate: una password, per esempio, o un numero di carta di credito. Augias ha ricevuto e commentato quella che tecnicamente si chiama una email di phishing.
La difficoltà di Augias nel rendersi conto di quello che si trovava davanti va capita: le email di phishing – anche se spesso sono molto grossolane – sono fatte apposta per sembrare delle comunicazioni legittime da parte di un mittente noto. Di solito ricalcano graficamente le comunicazioni ufficiali di qualche grande azienda – da ENEL a Google, a una banca – riproducendone (o cercando di riprodurne) il logo e lo stile. Il loro scopo è quello di ingannare il ricevente per truffarlo o spingerlo a cliccare su qualche link in modo che sul suo computer possa essere scaricato un malware, cioè un programma informatico che può provocare danni al computer o raccogliere e trasmettere dati importanti.
Le email di phishing circolano da molti anni e hanno molte forme e obiettivi diversi. Dietro ci sono in genere hacker o truffatori, che solitamente entrano in possesso di grandi liste di email e poi le usano per mandare email di phishing a migliaia di indirizzi sperando che qualcuno ci caschi (la parola phishing è un gioco di parole con la parola inglese fishing, “pesca”). Negli ultimi anni si era per esempio parlato di una falsa email di Google che invitava i riceventi a dare informazioni sui loro account: era molto ben fatta e aveva ingannato tantissime persone in tutto il mondo. In altri casi le email di phishing sono più maldestre e più facilmente riconoscibili – come quella ricevuta da Augias, probabilmente, tradotta malamente in italiano –, ma in generale funzionano quando chi le legge è distratto o forse anche incuriosito da una email ricevuta dalla sua azienda che gli suggerisce un intervento immediato per risolvere qualche problema o ottenere qualcosa.
Difendersi dalle email di phishing, se le si riconosce in tempo e se si tiene in considerazione che possano esserlo, non è complicato: nella maggior parte dei casi basta non cliccare su nessuno dei link che contengono per evitare ogni rischio. La cosa più importante e meno facile è invece individuarle prima che sia troppo tardi: abituandosi all’idea che il rischio esista, come siamo abituati a non lasciare incustodita una borsa quando siamo in giro. Se le email di phishing non sono particolarmente raffinate, contengono errori – una frase scritta in modo sgrammaticato, un logo che non sembra originale – o richieste strane e inusuali e questo deve essere il primo motivo di allarme.
Se si nota qualche stranezza di questo tipo è raccomandabile controllare accuratamente il mittente dell’email: le email di phishing possono copiare ogni cosa di una comunicazione ufficiale della vostra banca, e sono spesso inviate da un indirizzo email non autentico. Controllarlo esattamente è una buona prima precauzione, anche se in molti casi può essere contraffatto in modo che sembri quello corretto. Le comunicazioni ufficiali delle aziende arrivano da indirizzi email ufficiali: le email del Post, per esempio, arrivano da un account @ilpost.it e non da un account @yahoo.com, così come quelle di Google, che arrivano da account @google.com. Non basta però che nell’indirizzo email compaia il nome dell’azienda che sembra avervi mandato la comunicazione perché questa sia veritiera: bisogna controllare con attenzione cosa è indicato dopo la @ e accertarsi che sia un dominio ufficiale (non @amazzon.gneps, per dire). Ma, ripetiamo, se anche l’indirizzo di provenienza mostrato dalla email fosse corretto, può essere stato artefatto e questo non basta a rassicurare sulla genuinità della email.
Un’altra accortezza è controllare a quale indirizzo personale sia arrivata la mail in questione: se dice di arrivare dalla vostra banca, può essere destinata solo all’indirizzo che avete dato alla banca, e non a un altro di vostri possibili indirizzi mail.
Una regola generale è di essere sempre molto attenti a dove si scrivono i propri dati personali, online, e di farlo solo se si è certi che il sito che si sta usando sia legittimo. Un’altra cosa importante è quella di non farsi prendere dal panico nel caso in cui ci arrivino email che ci chiedono dati o informazioni in tempi brevissimi minacciando che stia per succedere qualcosa di molto grave (l’email ricevuta da Augias, per esempio, sosteneva che fosse l’ultimo giorno utile per ricevere un rimborso economico). O che possano essere svelati nostri comportamenti online.
Proprio perché le email di phishing contengono stranezze, spesso vengono bloccate automaticamente dai gestori delle caselle di posta elettronica, ma se avete dubbi su una email ricevuta è sempre meglio controllare: con una telefonata alla propria banca o a chiunque abbia inviato la comunicazione sospetta. Naturalmente esistono truffe così sofisticate da poter ingannare anche una persona molto attenta: ma si tratta di solito di truffe mirate a un particolare gruppo di persone, per esempio i dipendenti di una certa azienda.
Se dovesse capitarvi di essere ingannati da una email di phishing non sentitevi troppo in colpa o in imbarazzo. Le truffe esistono e nel tempo ci è cascato più o meno chiunque. Se vi accorgete di essere stati truffati non spaventatevi: cambiate le credenziali dei siti collegati alla truffa (username e password) e nel caso di truffe che riguardino la vostra banca, contattatela direttamente per farvi aiutare.