Tentativo di phishing (come scoprire se il sito è contraffatto)

Tempo di lettura: 3 minuti

Come tutti voi anche io sono bersaglio quotidiano di un qualsiasi tentativo di phishing e mi arrivano decine di email ma come scoprire se l’url del sito su cui vieni rimandato dal link presente nell’email è contraffatto).

Avevo illustrato tempo fa l’analisi di un’email reale di PayPal per compararla alle tante email di phishing PayPal che circolano e per cercare di capire il metodo da usare per distinguere le une dalle altre.

Compariamo ora invece un’email reale di CheBanca giratami da un amico, e un’altra email di phishing con un altro link e vediamo le differenze per cercare di illustrare la metodologia che uso anche io per capire se un’email e il relativo sito sono legittimi o contraffatti.

Analisi di un’email legittima e reale di CheBanca

L’email arriva da CheBanca <no-reply@chebanca.it> che è del tutto regolare ma non è indice di email reale perché sai bene che il mittente può essere contraffatto, e non è il caso qui che ti spieghi come controllare l’header del messaggio di posta elettronica per capire meglio da dove effettivamente arrivi.

Ecco come appare nel tuo client di posta elettronica

email chebanca reale

Procediamo nell’analisi.

  1. Hai visto che il mittente è normale ma ha poco valore.
  2. Il testo è normalissimo testo e non un’immagine, e questo è un ottimo indice.
  3. Il testo è scritto in un italiano assolutamente corretto. Non ci sono errori sintattici o grammaticali. Ottimo indice.
  4. La comunicazione non contiene minacce o informazioni di attacchi al tuo account, non ti dicono che devi verificare questo o quello. Si tratta di una normalissima comunicazione da parte della banca.
  5. Le icone delle APP e dei social sono tutte funzionanti e portano ai link corretti. Poca rilevanza ma da tenere in considerazione.
  6. Nella comunicazione viene spiegato tutto quello che devi sapere. C’è un link ma non è necessario seguirlo a meno che tu non voglia altre informazioni.
  7. Se clicchi sul link vai a finire sul sito reale di CheBanca che è chebanca.it e non su un sito con un’url differente o con un altro dominio.
  8. Se cerchi su Google il termine “Che Banca” o “CheBanca” capisci che il sito reale è chebanca.it e non un altro.
  9. Il link, cosa importante, porta al sito chebanca.it e non a una sua sottopagina o sezione strana. Probabilmente dovrai fare il login e poi andare nell’area delle comunicazioni tra te e la Banca, se hai un conto ovviamente, e vedrai questa informativa.

Posso quindi ritenere che l’email sia vera e legittima e, se proprio non mi fido, invece di cliccare il link, apro una nuova finestra nel browser e batto l’indirizzo del sito CheBanca per entrarci.

Analisi di un’email di phishing

Prendo in esame una delle tantissime che circolano e che tentano di fare phishing su Nexi.

L’email arriva da Nexi S.p.A – Informazioni utenze <info@fenyokert.com> e mentre la prima parte potrebbe essere vera, la seconda sicuramente non lo è perché il dominio fenyokert.com non è sicuramente un dominio di Nexi o CartaSì.

Primo bruttissimo segno.

Ecco l’email

Gentile titolare,

La informiamo che la sua utenza verrá disabilitata per motivi amministrativi in data 15/01/2018.
Per evitare che la sua utenza venga disabilitata lei deve aggiornare i suoi credenziali.
Per completare la procedura di aggiornamento cliccare il link sottostante.

hxxps://www.nexi.it/utenze/login/aggiornamento_credenziali?3080338930

Email inviata automaticamente per favore non rispondere a questa email.
In caso di utenza già disabilitata ci scusiamo per l’eventuale disagio creato.
Nexi S.p.A © 2018 – Reparto: Utenze & Sicurezza.

  1. In primis l’email contiene già la solita minaccia di disabilitazioni e problemi vari. Non è una semplice comunicazione.
  2. Poi mi dicono che la mia utenza verrà disabilitata senza neanche una motivazione, e già questo è assurdo ed è un segno parecchio strano.
  3. L’italiano non è corretto a livello sintattico – lei deve aggiornare i suoi credenziali.
  4. Al limite dovrei controllare le mie credenziali; perché invece mi dicono di aggiornarle?
  5. Se il link fosse vero sarebbe al sito nexi.it e non a una sua sottopagina perché prima dovrei fare il login e poi eventualmente aggiornare i miei dati. Qui invece ti dicono di andare a una pagina strana con quei numeri alla fine che non vogliono dire nulla e sono messi lì solo per fare scena.
  6. Il sito reale di Nexi è nexi.it ma curiosamente quando clicchi sul link succede una cosa strana. Prima atterri sul sito h**p://nexi-online.it/ e subito dopo vieni portato a un altro sito dall’url quantomeno ridicolo h**p://nexi-online-privati-aggiornamento-credenziali-utenze3.otzo.com/verificaonline/gtwpage/index.phpSe non bastassero gli altri questo è il segno definitivo che è un tentativo di phishing. Vediamo perché analizzando l’indirizzo.

Se hai letto qualcosa dell’articolo che ho scritto su come si legge un dominio internet, avrai già capito che il dominio reale dell’indirizzo di cui sopra è otzo.com perché tutto quello che c’è prima è un dominio di terzo livello di otzo.com.

È come se io facessi un terzo livello di tuttosullapostaelettronica.it e lo chiamassi nexi.tuttosullapostaelettronica.it o aggiornamento-credenziali.tuttosullapostaelettronica.it.

Potrei farlo tranquillamente ma il dominio rimarrebbe sempre tuttosullapostaelettronica.it. Il fatto che si usi un terzo livello è perché si cerca di trarti in inganno facendoti leggere qualcosa che possa somigliare a quello che ti stanno chiedendo. In fondo la gente non sta a guardare troppo i particolare e i delinquenti giocano su questo.

Invio voto
Dai il tuo voto!
5 (1 voto)

Lascia un commento...

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.