Publicazioni
10. gennaio 2023

E-mail e SMS di phishing - come riconoscerli

Come un pescatore con la sua esca all’amo, i truffatori non aspettano altro che estorcere i dati della tua carta sotto mentite spoglie. Da qui il nome phishing. O smishing, se avviene tramite SMS. In un caso o nell’altro, noi vogliamo proteggerti. Qui ti mostriamo alcuni esempi per riconoscere il phishing e lo smishing e non cadere nella trappola.

Riportiamo di seguito alcune informazioni preliminari prima di fornirti esempi specifici di phishing:

  • Per i pagamenti con carta esistono diversi meccanismi di sicurezza: ad esempio l’inserimento del PIN nel lettore di carte per i pagamenti in negozio o il codice 3D Secure tramite SMS per l’autorizzazione di pagamenti online. Le frodi con carta insomma non sono poi così semplici.
  • Fornisci i dati della tua carta (numero della carta di credito, codice di sicurezza a tre cifre, data di scadenza) solo a negozi online affidabiliUn'indicazione (non sempre garantita al 100%) di un sito sicuro è il simbolo del lucchetto nella barra degli indirizzi o nel browser. Errori ortografici e grammaticali o uno strano design della pagina, invece, possono indicare che ti trovi su un sito falso. Infine, se non sei sicuro, puoi scoprire di più sul venditore leggendo le recensioni su internet (ad esempio sui social media). 
  • Fai attenzione al contenuto dell’SMS 3D Secure che ricevi con il codice usa e getta per autorizzare i pagamenti online (importo, valuta, nome del rivenditore).
  • In caso di dubbio o se sei preoccupato di aver inserito i dati della carta su un sito poco serio: Blocca la tua carta nell'app (sotto «Profilo» e «La tua carta») e contattaci all’indirizo service_at_neon-free.ch oppure chiama la nostra hotline al numero +41 43 508 03 76.

Come funziona il phishing in dettaglio, cosa facciamo noi per te e come puoi proteggerti, puoi leggere qui

 «Il tuo pacco è in attesa di consegna»: mail di phishing a nome della Posta e di DHL

Supponiamo che tu abbia ricevuto un’e-mail o un SMS dalla Posta che ti informa della presenza di un problema con la spedizione del tuo pacco e in cui ti viene richiesto di pagare un importo di 2.99 CHF. Se fai clic sul link fornito, ti verrà chiesto di effettuare il pagamento e di inserire i dati della tua carta.

Come puoi immaginare, non si tratta di una vera e-mail della Posta, ma di una truffa. A prima vista però può sembrare sorprendentemente simile. Astuti! Ma prestando attenzione ai dettagli, talvolta si possono trovare delle incongruenze. Nell’esempio seguente, l’indirizzo del mittente (@sunrise.ch) non corrisponde al mittente specificato (Post CH AG). A volte però questo non si nota. Anche con gli SMS i truffatori agiscono in modo simile falsificando i messaggi di DHL, compresi i link con cui ti inducono a fornire i dati della tua carta.

«Il tuo account Amazon è incompleto» – email di phishing a nome di Amazon

Nel caso di Amazon, i truffatori falsificano i casi di sicurezza. Ad esempio, in un'email di phishing di questo tipo vieni chiesto di aggiungere il tuo numero di telefono per proteggere il tuo account Amazon. Anche in questo caso si tratta della stessa truffa: Ti viene chiesto di confermare il tuo numero di telefono tramite un link che, ovviamente, viene manipolato. Tramite un modulo, i criminali cercano di ottenere altri dati oltre al tuo numero di telefono, come i dati della tua carta o il tuo indirizzo.

Questi casi Amazon sono particolarmente sgradevoli: Spesso sono formulati con un'urgenza che ha lo scopo di metterti sotto pressione. Ma ovviamente puoi mantenere il sangue freddo, perché abbiamo un elenco per te su come riconoscere queste e-mail o messaggi di phishing.

Esempi di e-mail o SMS di phishing a nome della Posta, di DHL e Amazon.

Ecco come riconoscere le e-mail o gli SMS di phishing

  • Verifica il mittente: passa il mouse sull’indirizzo e-mail del mittente e vedrai che sicuramente c’è qualcosa che non va.
  • Lo stesso vale per i link: passa il mouse sul link (senza cliccarci sopra!) e vedrai che questo dominio di destinazione ha qualcosa di strano
  • Controlla manualmente il numero di spedizione o del pacco, inserendolo sulla pagina Internet della Posta o di DHL.
  • Scarica il Centro Messaggi Amazon e accedi al tuo account Amazon. Lì vedrai tutti i messaggi autentici di Amazon: Se non trovi l'email sospetta lì, si tratta di phishing.

Segui questi link per scoprire i consigli di sicurezza della Posta, di DHL e di Amazon.

Se ancora non siamo stati abbastanza chiari: mai e poi mai cliccare su questi link e rivelare informazioni riservate su di te o sulla tua carta. A posto tuo non le sveleremmo nemmeno al cane. Chi può saperlo quanto è arguto.

Facciamo il gioco dell’avvocato del diavolo. Supponiamo che abbia cliccato sul link e fornito i dettagli della tua carta.

Scenario 1: I truffatori ora possono fare acquisti usando i dati della tua carta. A questo punto penserai: non può funzionare. Per effettuare un pagamento non devo inserire il codice 3D Secure che ricevo via SMS? Purtroppo non tutti i rivenditori hanno impostato un’autenticazione a due fattori.

In generale, controlla sempre con attenzione i tuoi SMS. Il nome del rivenditore, la valuta e l’importo esatto corrispondono a un pagamento che hai effettuato? In caso contrario, contattaci immediatamente o blocca la tua carta nell'app in via precauzionale finché non avremo chiarito la situazione.

Scenario 2: I truffatori possono utilizzare le informazioni rivelate per memorizzare la tua carta per il mobile payment (Apple, Samsung o Google Pay) sul loro smartphone. In questo caso, riceverai un codice per l’attivazione del mobile payment via SMS. Nella peggiore delle ipotesi, inserisci questo codice sulla pagina web fasulla inoltrando così il codice di attivazione ai truffatori, che a questo punto potranno effettuare i pagamenti senza problemi.

Quindi, se ricevi un codice di attivazione da Apple Pay, Google Pay o Samsung Pay senza averlo richiesto, contattaci immediatamente. Non dimenticare: non inserire mai il tuo codice di attivazione Apple/Google/Samsung Pay su Intern et. Inseriscilo solo sui tuoi dispositivi presenti nel Wallet o nell’app Google o Samsung.

A sinistra è riportato l’esempio di un codice 3D Secure inviato tramite SMS, a destra di un codice per l’attivazione del mobile payment (in questo caso per Apple Pay)

Sul codice 3D Secure inviato tramite SMS è sempre riportato il nome del rivenditore, la valuta e l’importo esatto. Controlla sempre che tutti questi dati corrispondano con la tua transazione o il tuo acquisto. Lo stesso vale per il codice di attivazione del mobile payment: lo ricevi solo se lo hai richiesto in fase di memorizzazione della carta sul tuo dispositivo. In altre parole: se memorizzi la tua carta neon per il mobile payment, ti invieremo un codice di attivazione. Altrimenti no.

I tuoi nuovi mantra sulla sicurezza

Mantra #1: Non rivelare mai informazioni riservate su di te o sulla tua carta. Inserisci i dettagli della tua carta solo in caso di rivenditori affidabili. Non rivelare nulla ai tuoi animali domestici. Esatto, nemmeno al criceto. Probabilmente è ancora più astuto del tuo cane.

Mantra #2: Se hai dei dubbi o sei preoccupato di aver inserito i dati della tua carta su un sito poco serio: Per precauzione, blocca la tua carta nell'app (sotto «Profilo» e «La tua carta») e contattaci all'indirizzo service_at_neon-free.ch oppure chiama la nostra hotline al numero +41 43 508 03 76.

Se ora ti stai chiedendo quanto sia davvero sicuro il mobile banking, puoi trovare le risposte qui

Inviaci un feedback