Thunderbird è secondo me il miglior client di posta elettronica in assoluto e il fatto che Thunderbird segnala il phishing è uno degli elementi che me lo fa sostenere.
Il meccanismo del phishing
Chi ti manda un’email di phishing cerca di farsi passare per un’azienda conosciuta in modo da trarti in inganno e farti cliccare su un link che porta a un sito contraffatto.
Questo sito si mostra come, per esempio, il sito di Poste Italiane ma, in realtà, l’url o indirizzo del sito non è poste.it ma un’altro che non ha nulla a che fare con Poste Italiane.
E nell’email spesso viene scritto l’url corretto – es. www.poste.it – che però, una volta cliccato, ti porta altrove.
L’URL contraffatto
Si parla quindi di URL contraffatto.
Puoi vedere negli approfondimenti cos’è un url contraffatto ma ti faccio un esempio molto semplice qui di seguito. Se clicchi su questo url
www.chebanca.it
a prima vista tu potresti pensare che andrai a finire sul sito di CheBanca ma se il link è contraffatto come in questo esempio, finirai altrove. Non ti preoccupare che questo è un esempio innocuo che ti porterà sul “vero” sito di Poste Italiane.
Questo sistema è molto spesso usato per tranquillizzare l’utente che vede un sito conosciuto e ha meno timori a cliccarci sopra, per quello lo sottolineo.
Thunderbird, che è un notissimo e gratuito client di posta molto potente e ricco di funzioni, disponibile sia per Windows che per MacOS, ha una funzione incorporata che ti segnala se hai cliccato su di un url che ti porta a un sito differente da quello indicato.
Esempio con email legittima di marketing
Tengo a precisare che, nell’esempio sottostante, l’email che sto mostrando è del tutto legittima e non è phishing. La discrepanza di url in questo caso dipende da un tracciamento marketing.
Questa è parte dell’email che dice di cliccare su un link per registrarsi a un webinar.
Come vedi il dominio è www.migastoneacademy.com ma quando io ho cliccato sopra mi è apparso questo avviso.
che sostanzialmente mi dice di fare attenzione perché io ho cliccato su un link indicato come www.migastoneacademy.com ma il dominio di destinazione è migastone.krtra.com.
In questo caso, come ho detto, è tutto regolare ma se tu avessi cliccato sull’esempio precedente credendo di andare sul sito di CheBanca, Thunderbird ti avrebbe avvisato che invece stavi per essere portato sul sito delle Poste.
Esempio con email di phishing
Ecco invece il caso con un’email di phishing relativamente a un’email che tenta di farsi passare per un’email di Siteground (un provider tipo Aruba o Register) per il rinnovo di un dominio.
Quando clicco sul link riportato nell’email appare questo avviso
che sostanzialmente dice “Attenzione, hai cliccato su un link che ti dice che ti porta al sito A e invece andrai al sito B, vuoi andarci?”.
Comunicazione importantissima che, se non altro, ti mette sull’avviso che stai commettendo una possibile sciocchezza.
Come capire se il sito di destinazione è sospetto?
Ci vuole un minimo di malizia. Se io vedo un link che mi fa pensare che sia il sito delle Poste www.poste.it e invece mi ritrovo su www.cippirimerlo.com è chiaro che c’è qualcosa che non funziona perché i due domini non c’entrano nulla uno con l’altro.
Idem se vedo www.poste.it e vengo portato a un sito che nella barra degli indirizzi del browser mi mostra www.posteitaliasbloccoaccount.com che non ha nulla a che fare con Poste Italiane.
Sicuro, ci vuole un po’ di pratica e un po’ di conoscenza, ma se vuoi essere sicuro prova a cercare su internet il sito dell’azienda di cui ti dicono di cliccare il link. È CheBanca? Prova a cercarla su Google. Idem se si tratta di Nexi o di American Express o di PayPal o di Unicredit e via di questo passo.
Google ti dirà qual’è il sito reale dell’azienda e così potrai confrontarlo con quello che vedrai.
Approfondimenti
- cos’è un url
- scoprire se il sito è contraffatto
- cos’è un dominio
- cos’è un browser
- la barra degli indirizzi di un browser
- scoprire il vero dominio
- cos’è un link sospetto
