Sul sito della Polizia di Stato si possono leggere due interessanti articoli a proposito di truffe informatiche in atto in questi giorni, che sfruttano la naturale e giustificata preoccupazione a proposito del Coronavirus. [al fondo di questo testo puoi trovare i collegamenti ai due articoli presenti sul sito della Polizia di Stato]
Per fare subito chiarezza, possiamo partire da un presupposto molto semplice: nessun ente istituzionale invia comunicazioni ufficiali tramite posta elettronica. Se ci pensi bene è assolutamente logico: hai mai dato il tuo indirizzo mail al Ministero della Salute o a quello degli Interni o ad altri enti? Molto probabilmente no.
In rete è buona norma andare a cercare le informazioni che si stanno cercando e non fare affidamento su quelle che arrivano, non richieste, nella nostra casella di posta elettronica aziendale. Questo deve essere ben chiaro all’imprenditore, come ai suoi collaboratori e dipendenti.
Come segnala la Polizia di Stato, in questo periodo stanno circolando almeno 2 email di phishing* che trasportano ognuna un malware** camuffato da allegato. L’obiettivo del malintenzionato/truffatore che invia questi messaggi è proprio quello di indurre il destinatario a cliccare sull’allegato che solitamente nasconde un file esecutivo, cioè in grado di agire sul computer su cui viene installato in maniera potenzialmente molto dannosa.
Nei casi denunciati sul sito della Polizia di Stato, ad esempio, le mail invitano a cliccare sugli allegati spacciandoli per informative sulla prevenzione e sulle norme di sicurezza da adottare in questo momento di crisi (uno porta come nome file: CoronaVirusSafetyMeasures.pdf, pur non essendo un vero .pdf)
Ma come posso non abboccare a contenuti ed a mail create apposta per fregare il destinatario? Non è sempre facile, ma ci sono alcuni accorgimenti che possono venire in nostro aiuto:
- verifichiamo il mittente: conosciamo il mittente personalmente? se non lo conosciamo, come fa ad avere il nostro indirizzo mail? siamo stati noi a dare il nostro indirizzo mail al mittente? Rispondere a queste domande di solito offre già una buona scrematura: come dicevamo, probabilmente non abbiamo mai dato il nostra mail all’ente che starebbe cercando di contattarci.

- il nome del mittente e l’indirizzo mail del mittente coincidono? Ad esempio: se il nome del mittente è “Dott. Mario Rossi“, ma l’indirizzo mail utilizzato dal mittente è, per dire, 1034mail@cloud.computer.com... c’è qualcosa che non va.
- il nome del mittente è scritto correttamente? Verifichiamo che venga utilizzato il nome ufficiale. Ad esempio “Ministero della Salute” è il nome corretto; mentre “Ministero della Sanità” è verosimile, ma non è quello corretto.
- l’indirizzo mail del mittente è scritto correttamente? Per quanto riguarda la verifica dell’indirizzo e-mail del mittente, è un po’ più complesso, ma se prendiamo il tempo di verificare presso il sito ufficiale possiamo riuscire a capire se si tratta di una truffa.
L’indirizzo mail del mittente è, ad esempio, salute@ministerodellasalute-italia.it? Bene, basta andare sul sito ufficiale per scoprire che il dominio del Ministero è www.salute.gov.it, l’indirizzo mail dovrebbe dunque essere salute@salute.gov.it

- verifichiamo la forma del testo e la grammatica: sembra incredibile, ma le truffe che arrivano nella nostra casella mail sono spesso sgrammaticate e presentano una forma non ufficiale. Ad esempio, riportando immagini e loghi sgranati e di bassa qualità; errori di battitura e di sintassi; impaginazione scadente con troppi spazi e righe vuote…
- ci sono delle incongruenze? nell’esempio riportato dalla Polizia di Stato, il messaggio era rivolto da un ente italiano ad un pubblico italiano: allora perché mai il nome dell’allegato è in inglese (CoronaVirusSafetyMeasures.pdf)?
In un periodo di crisi come quello attuale, non c’è da stupirsi che alcuni cerchino di approfittare delle preoccupazioni e delle debolezze di persone poste sotto stress. Per il bene della nostra azienda, cerchiamo di fare attenzione e mettiamo in guardia anche i nostri collaboratori e dipendenti.
* (il phishing è un metodo che prevede l’invio a pioggia di email ad indirizzi casuali, contando sul fatto che sul gran numero di destinatari che riceveranno il messaggio alcuni sicuramente “abboccheranno” e cliccheranno sul link o sull’allegato dannoso per il compiute o per la rete del destinatario)
** (possiamo chiamali virus informatici)