Quando l'esca è in allegato

Parola d'ordine? Diffidare. Controllare, verificare. Spesso bastano pochi minuti di ricerca in Internet per prevenire una brutta figura, o peggio, una vera e propria truffa.

Milioni di dollari su conti correnti nigeriani che aspettano solo di essere ritirati, banche che perdono accidentalmente i nostri dati, compagnie telefoniche che fanno pagare gli squilli, medicinali in saldo, e tante, tantissime altre opportunità di vario genere sulle quali… è meglio sorvolare. L'e-mail non è più roba per deboli di cuore, ed è sempre più difficile districarsi tra spamming, tentativi di truffa e catene di S.Antonio. Almeno però possiamo imparare a valutare i messaggi e soprattutto difenderci dalle minacce, iniziando da quelle più pericolose, come il phishing.
Il phishing, storpiatura del verbo inglese to fish - pescare, è quella tecnica di ingegneria sociale, utilizzata per ottenere l'accesso ad informazioni personali e riservate con la finalità del furto di identità mediante l'utilizzo di messaggi di posta elettronica fasulli, opportunamente creati per apparire autentici. Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc. In poche parole, inondando il web con milioni di messaggi fasulli di istituti bancari che lamentano la perdita di alcuni dati o vari problemi tecnici, c'è la probabilità che chi ha un conto proprio in quella banca, venga indotto in errore e digiti, in appositi siti civetta in tutto e per tutto simili a quelli originali, il proprio username e password, che inevitabilmente finisce nelle mani di abili truffatori.
Negli scorsi mesi si è verificato un vero e proprio boom di questi messaggi, per fortuna spesso in un italiano improbabile, che hanno comunque causato un numero significativo di transazioni truffaldine.
Il meccanismo di ingegneria sociale di cui stiamo parlando, si basa sul cosiddetto "principio di autorevolezza". Quanto più una comunicazione proviene (o meglio sembra provenire!) da una banca o da un soggetto in qualche modo autorevole, quanto più difficilmente ne verrà valutata, in modo critico, l'attendibilità. Col senno di poi, infatti, ragionandoci sopra, è altamente improbabile che una banca perda i nostri dati, e soprattutto che ce li richieda con una e-mail!
Ma allora come ci si può difendere? Innanzitutto diffidando, indagando, informandosi. Ribaltando la logica, partendo dal presupposto che l'appello o la richiesta siano false fino a prova contraria. Spesso bastano davvero pochissimi minuti per una verifica. Nel caso citato, ad esempio, sarebbe stato sufficiente recarsi sul sito ufficiale della banca alla ricerca di conferme, oppure una telefonata al numero verde che solitamente è a disposizione dei correntisti on-line avrebbe fugato ogni dubbio.
Gli istituti bancari stanno comunque correndo ai ripari estendendo a tutte le transazioni telematiche l'utilizzo di pin monouso ed infatti il fenomeno sta rapidamente rientrando.
Ma se quando ci viene toccato il portafoglio impariamo in fretta (a nostre spese) il discorso cambia per quanto riguarda le cosiddette bufale, dette anche hoaxes. Per quanto possa sembrare incredibile, alcuni appelli fasulli, lanciati nel 1994, quando pochissimi italiani utilizzavano la posta elettronica, circolano ancora oggi. Un esempio? Il solito "pericolosissimo virus" per il quale non esiste rimedio alcuno, annunciato immancabilmente da CNN o IBM o da entrambi.
Anche nel caso delle bufale entra in gioco il principio di autorevolezza. Se la mail mi è stata inviata da una persona che conosco e stimo, per quale motivo dovrei dubitarne? E se addirittura ne hanno parlato alcuni giornali? Magari a volte si tratta di un appello urgente, che male posso fare ad inoltrare una mail? E' gratis. Ed è del tutto normale ed umano essere tratti in inganno.
Eppure anche in una innocua catena di Sant' Antonio i rischi esistono. Il più evidente ed antipatico è che difficilmente gli indirizzi a cui si inoltra il messaggio vengono inseriti nel campo CCR, la copia conoscenza riservata. Così facendo dopo pochi passaggi, la mail contiene già centinaia di indirizzi. Una manna per gli spammers! Quasi sempre poi si tratta di indirizzi lavorativi. Ciò può creare anche qualche imbarazzo professionale a chi viene incluso involontariamente.
Anche questa volta però un problema della Rete si risolve grazie alla Rete. Esistono infatti preziosissimi siti "antibufala" che aiutano chi, giustamente, ha iniziato a porsi dei dubbi, a diffidare.
Per distinguere, ad esempio, un appello autentico da una "bufala" in materia di virus, è possibile consultare i siti dei più noti produttori di antivirus dove i falsi appelli vengono inesorabilmente classificati come Hoax.
Per gli appelli, petizioni, richieste urgenti, per le quali può sussistere l'atroce dubbio di interrompere una catena comunque utile, rivolgetevi con fiducia ai siti "antibufala" come quello del celeberrimo Paolo Attivissimo. Contiene approfondite indagini su qualunque catena o appello via mail che sia apparso nella Rete, dai primi anni Novanta ad oggi. Sorprendentemente scoprirete che alcuni appelli riguardanti persone affette da malattie rare, apparentemente inattendibili, erano tragicamente autentici ma altrettanto tragicamente scaduti. E ancora oggi, purtroppo, inarrestabili. Vale sempre la pena di fare un controllo prima di inoltrare qualunque appello. Basta un minuto.
Per questa puntata è davvero tutto. Vi ricordo però che questo articolo dovrà essere fatto leggere ad almeno 5 parenti di primo grado pena la formattazione del vostro forno a microonde!

Luca Massi

• www.leggendemetropolitane.net
  01/20/2006