Prendo come esempio un’email che mi è recentemente arrivata per spiegare come riconoscere il phishing e perché la mancanza di attenzione è fatale.
Il mittente dell’email è
cPanel on dominio.it [email protected]
e l’oggetto dell’email è
[ dominio.it ] WARNING The domain “dominio.it” has reached their disk quota.
e questa è l’email che arriva
Se la paragoni all’avviso reale che vedi sotto, sono del tutto identici se non nella lingua, non discriminante, e in alcuni particolari minimi che possono anche passare inosservati come
- il fatto che non venga menzionato il nome dell’utente sul server
- lo spazio prima e dopo il nome a dominio
Nota che il link che viene indicato è differente da quello al quale vieni portato quando clicchi e di questa cosa, come segnalato tempo fa relativamente a Thunderbird e il riconoscimento del phishing, ti appare questo avvertimento
che ti avverte del fatto che stai cliccando su un link con un indirizzo (url) che non corrisponde a dove effettivamente verrai portato. È un classico caso di link contraffatto che dice una cosa e ne fa un’altra.
Quando clicchi sul link infatti vieni portato a un dominio fatto apposta per sembrare reale, cioè
che ti mostra questo pannello di login, assolutamente identico all’originale.
Se inserisci i dati di accesso a Cpanel, li consegni nelle mani di chi non dovrebbe averli e a quel punto sei fregato.
Come riconoscere il phishing
In questo caso il processo che ho seguito dopo che mi è venuto il dubbio, è stato di controllare l’email del mittente che, nel caso di Cpanel dovrebbe essere composta da cpanel@nomedominio. Se il dominio fosse dominio.com, l’email sarebbe dovuta arrivare da [email protected] mentre qui invece il mittente è [email protected] che non c’entra nulla né con CPanel né con il dominio in questione.
E questo è stato il primo segnale di allarme.
Cliccando poi sui link sono finito a questo dominio
che invece avrebbe dovuto essere
https://dominio.com:2083/?goto_app=ContactInfo_Change
Capisco che questa sia una cosa molto tecnica e l’ho detto all’inizio. Se non hai un dominio e non usi Cpanel la cosa non ti tocca minimamente, ma proprio il fatto che sia rivolta a persone che si presume abbiano una conoscenza più approfondita di queste cose
Come capire che questo è un phishing?
Innanzitutto diciamo subito che un’email del genere solitamente è rivolta a chi ha un dominio registrato su internet e un sistema di gestione che si chiama appunto Cpanel.
Quindi non è diretta a tutti, nel senso che se non hai un sistema del genere o un dominio registrato, molto probabilmente non ti arriverà neppure.
Infatti qui siamo in presenza di una versione di phishing più sofisticata, chiamata Spear Phishing, che non prende di mira chiunque indistintamente ma solo chi ha determinate caratteristiche.
Questa email mi è infatti arrivata relativamente a un dominio che ho registrato e che utilizza Cpanel. Quando l’ho ricevuta sulle prime mi è parsa reale, ma ho fatto mente locale e sapevo bene che su quel dominio era impossibile che ci fosse tutto lo spazio occupato, quindi mi sono fermato e ho analizzato la cosa più approfonditamente.
E qui c’entra uno degli elementi su cui i criminali giocano, la fretta.
Se non mi fossi soffermato e avessi cliccato sul link, inserendo poi le credenziali di accesso, le avrei consegnate direttamente nelle mani del criminale che, a quel punto, avrebbe potuto fare quello che voleva con il mio dominio e con il mio sito, email e tutto quello che c’è di collegato.
Gli elementi da tenere sotto controllo sono sempre gli stessi, il mittente dell’email e soprattutto il dominio.
Un avviso vero di Cpanel
Supponendo che il dominio per il quale ti arriva l’avviso sia dominio.it, questo arriva da
cPanel on dominio.it cpanel@dominio.it e ha come oggetto
[dominio.it] Avviso sull’utilizzo del disco: l’utente “****” (dominio.it) ha quasi raggiunto la propria quota disco.
Che come vedi è praticamente identico, se non in piccoli particolari, a quello fasullo solo che l’email è scritta in italiano e non in inglese, ma questa non è una discriminante sufficiente perché come vedi una parte dell’email reale è in inglese.
Conclusioni sul riconoscimento del phishing
Come ho detto, questo non è phishing normale ma spear phishing perché prende di mira solo determinate persone e infatti mi è arrivato sull’indirizzo email associato a quel dominio, e l’email riguardava lo stesso dominio quindi è stato specificatamente mandato a me perché sapevano che io ero il proprietario di quel dominio (informazioni di pubblico dominio quindi nulla di segreto).
Se non fossi stato attento, ed è facile che qualcuno che si consideri esperto prenda queste cose sottogamba, avrei regalato l’accesso al mio dominio e alle mie email al criminale di turno con conseguenze che posso solo immaginare.
Per questo motivo, tutte le volte che ricevi un’email con un link da cliccare, prima di farlo controlla quei due o tre elementi che ti possono fare capire se sei in presenza di un phishing o di un’email legittima. 30 secondi persi ma un sacco di problemi risparmiati!
Come fai a sapere quali sono quei 2 o 3 elementi da controllare?
Semplice, acquista il libro Manuale di Autodifesa Digitale e diventerai abilissimo nel farlo!
