Come abbiamo già anticipato in Mister Gadget Daily, il nuovo anno ha portato con sé vecchie abitudini, come quella che abbiamo da tempo definito la truffa dei messaggi Unicredit, ovvero il tentativo di impossessarsi delle credenziali di accesso al conto corrente online che viene perpetrata attraverso email di “phishing”.
La notizia ormai è vecchia come il mondo, gira da tantissimo tempo, sono molteplici anni che ripetiamo questo genere di segnalazioni, ma considerato il momento particolarmente caldo su questo fronte, non è mai eccessiva la prudenza.
In questi primi giorni dell’anno, probabilmente consapevoli del fatto che molti sono lontani da casa, che molti istituti bancari hanno diversi dipendenti in ferie e quindi le comunicazioni diventano meno semplici, i soliti ignoti si sono scatenati con una recrudescenza della spedizione di moltissimi messaggi ai clienti di diversi istituti bancari con Unicredit tra questi.
Il testo del messaggio truffa inviato ai clienti Unicredit
Gentile cliente UniCredit, con questa email ti informiamo che abbiamo disattivato tutte le operazioni online con la tua carta di credito e le funzioni del tuo conto UniCredit.
Questo ti impedirà di poter effettuare pagamenti online con la tua carta di credito, ricevere o inviare denaro tramite bonifico bancario e tanto altro. Per sbloccare il tuo account e la tua carta di credito per i pagamenti online, devi confermare alcune delle tue informazioni come il tuo numero di telefono e il codice di adesione UniCredit.
Per fare ciò, visita la nostra pagina dedicata ai controlli e agli aggiornamenti, cliccando sul Link seguente.
Accedi all’area servizi di UniCredit.
Dopo aver confermato il numero di telefono associato al tuo conto e il Codice Adesione del conto UniCredit, tutte le funzioni del tuo conto e della tua carta UniCredit verranno ripristinate
Inutile dire che nulla di tutto questo è vero, anzi, bisogna evitare di cliccare su qualunque link, ma questa dovrebbe essere la regola fondamentale per qualunque tipo di comunicazione.
Vi ricordiamo che passando il mouse sopra i link all’interno dei messaggi di posta elettronica potete vedere il reale indirizzo a cui siete rimandati, uno dei sistemi più semplici per riconoscere indirizzi che nulla hanno a che fare con il presunto mittente.
Se una volta il contenuto della mail era scritto in italiano piuttosto grossolano e quindi era facile individuare le comunicazioni fraudolente, oggi la qualità è migliorata, così come la composizione grafica dei messaggi.
Come trovare il vero mittente nella posta elettronica
Ecco perché diventa fondamentale controllare anche nei dettagli del messaggio di posta elettronica quale sia il real emittente, che potrebbe non essere quello indicato alla voce “da” che appare nella posta elettronica.
Se usate Mail di Apple su Mac o su iOS è sufficiente cliccare sul nome del mittente per visualizzare il vero indirizzo da cui arriva il messaggio. Su iPhone basta un tap sul nome del mittente perché si apra una scheda con il vero indirizzo.
Su E-Mail di Samsung, invece, bisogna cliccare su “dettagli” sotto il mittente, per accedere alle informazioni e quindi cliccare sul nome accanto a “Da”. Solo allora vi appare il reale mittente del messaggio.
Se usate Gmail su smartphone, cliccate sul messaggio di posta, quindi sul presunto nome del mittente, dove appare una piccola freccia
La stessa soluzione vale anche per Gmail su Web, dall’elenco dei messaggi, basta cliccare su quello che volete verificare e cliccare dove appare la stessa freccia.
Difendersi da questo tipo di attacchi non è complicato, ma soprattutto diventa ancora più facile se si sono rispettati i criteri di sicurezza e si sono applicate le direttive che impongono per i servizi “sensibili” l’autenticazione a due fattori.
Oggi, con i moderni criteri di sicurezza legati all’autenticazione con due passaggi, obbligatorio per gli istituti bancari quando si fanno transazioni economiche, il rischio è veramente ridotto al minimo, ma è sempre opportuno tenere alta la guardia.
Ricordate in particolare la prima direttiva, non cliccare mai su alcun tipo di link. Sembra semplice, ma gli utenti che non l’hanno ancora capito rappresentano un livello incredibilmente elevato.