Phishing 2.0: Quando le truffe sono più credibili della realtà.

Negli ultimi anni, le email di phishing hanno subito una vera e propria rivoluzione. Se ripensiamo a qualche anno fa, erano quasi ridicole: scritte in un italiano stentato, con errori grossolani e richieste che puzzavano di falso da chilometri di distanza. Era facile riconoscerle e cestinarle senza pensarci due volte. Oggi, però, queste truffe sono diventate astute, raffinate e, in alcuni casi, talmente ben fatte da sembrare più autentiche dei messaggi ufficiali stessi.

Prendiamo l’esempio della mail inviata dall'”ufficio italiano brevetti e marchi“. A una prima lettura, sembra arrivare direttamente dall’Ufficio Italiano Brevetti e Marchi. È scritta in un italiano impeccabile, il tono è formale, e i dettagli sono così specifici da lasciare pochi dubbi: si parla di un marchio registrato, c’è un numero di protocollo, una classificazione di Nizza. Tutto sembrerebbe al posto giusto.

Quello che colpisce è anche il nome della firmataria. A prima vista, tutto legittimo. Facendo una rapida ricerca su Google, spunta anche un profilo LinkedIn che sembra confermare il ruolo di funzionaria dell’Ufficio Italiano Brevetti e Marchi. Il profilo è ben costruito, con dettagli credibili e una descrizione professionale accurata. Probabilmente è stato creato apposta per questa truffa, ma fatto così bene che risulta difficile sospettare qualcosa. È un ulteriore tassello di questa messinscena studiata nei minimi dettagli per ispirare fiducia.

Ma non finisce qui. Anche l’allegato è studiato nei minimi dettagli: un attestato di registrazione che sembra ufficiale, con numeri, date e riferimenti che paiono autentici, con tanto di logo della Repubblica Italiana, timbro del “Sigillo di Stato” e addirittura un QR-Code che rimanda alla pagina “Contact Center” del sito istituzionale dell’ente (attenzione però con i QR code prima di aprire il link verificare e se possibile evitare…)

Insomma, tutto perfetto, viene quasi voglia di stamparlo e incorniciarlo…

Però, c’è un piccolo indizio che tradisce la frode: l’IBAN. È polacco. Eppure, quanti si accorgerebbero di una cosa del genere? Per l’utente medio, l’IBAN è solo una serie di numeri incomprensibili. Inoltre, chi si aspetterebbe che un ente italiano utilizzi un conto all’estero?

Ed è proprio qui che si vede quanto queste truffe siano cambiate. Non c’è più quella goffaggine del passato, quei testi pieni di errori che facevano sorridere. Ora si parla di vere e proprie operazioni raffinate di ingegneria sociale. I truffatori studiano la vittima, si documentano, raccolgono informazioni precise e costruiscono un messaggio su misura, capace di colpire nel segno. Usano un linguaggio sofisticato, sfruttano loghi, firme e persino nomi con profili Linkedin per dare una patina di autenticità.

Quello che colpisce di più è come riescano a giocare con la nostra percezione di urgenza e autorità. La mail ti mette pressione: hai pochi giorni per pagare. E se non lo fai? Beh, rischi di perdere la tutela giuridica del tuo marchio, con tutte le conseguenze del caso. È un meccanismo psicologico semplice ma efficace: davanti a una scadenza imminente, molti non si prendono il tempo per verificare. Agiscono d’impulso, convinti di dover risolvere la questione il prima possibile.

Eppure, ci sono sempre quei piccoli dettagli che, se osservati con attenzione, possono salvarti. L’IBAN polacco, ad esempio, o il dominio dell’email, che non corrisponde esattamente a quello ufficiale dell’Ufficio Brevetti e Marchi. Ma quanti di noi vanno a controllare questi particolari? La verità è che le truffe di oggi puntano proprio sulla nostra fiducia negli enti ufficiali e sulla fretta con cui gestiamo le cose.

Pensare che i truffatori abbiano persino utilizzato il nome con profilo social di una funzionaria dimostra fino a che punto siano disposti a spingersi. Questo livello di precisione rende queste email estremamente credibili. Non si tratta più di spam che possiamo riconoscere e ignorare a colpo d’occhio, ma di trappole ben congegnate.

Ed è proprio per questo che dobbiamo cambiare il nostro approccio. Non possiamo più fidarci ciecamente, nemmeno di email che sembrano perfette. Serve attenzione, prudenza e un po’ di sana e “serena paranoia” unita a un pò di scetticismo.

Prima di fare qualsiasi cosa, vale la pena prendersi qualche minuto per controllare. Verificare l’IBAN, controllare il dominio dell’email, contattare l’ente ufficiale e verificare sul sito istituzionale se ci sono degli avvisi, come in questo caso.

In molti casi, basta poco per smascherare la frode. Ma quel poco può fare la differenza tra una truffa riuscita e un tentativo fallito.

Le email di phishing si sono evolute, ma possiamo evolverci anche noi. La chiave è imparare a riconoscere i segnali, anche quelli più deboli e sottili, e non lasciarci prendere dal panico.

Perché se c’è una cosa che queste truffe ci insegnano, è che la fretta è la nostra peggior nemica, il cosidetto “click compulsivo”

(In caso di riproduzione, anche parziale, citare la fonte)

Visualizzazioni

286

Condividi questo post