Partiamo dal presupposto che non tutti gli utenti di Internet sono sprovveduti… e non ritengo di esserlo nemmeno io. Faccio un uso intenso degli acquisti online: ebay, Amazon e altri siti online, pagamenti con carte di credito, paypal, conti correnti online, resi, rimborsi… eppure non si è mai troppo sicuri, anzi forse è meglio non sentirsi mai sicuri.
Oggi raccontiamo una storia. Sì dico proprio storia, perché a volte è il caso, la sfortuna per noi o la fortuna per qualche malintenzionato, che trae le persone in inganno. Parliamo di Phishing e nello specifico di un tentativo di Phishing a clienti Paypal.
Storia di un tentativo di phishing Paypal
Ipotizziamo che un giorno io faccia diverse transazioni con PayPal, tre acquisti online da venditori diversi, ognuno dei quali interagisce in modo differente: due tramite ebay, con tanto di email di conferma, un altro tramite un sito esterno. Mettiamo anche che io faccia due resi tramite Paypal (leggi anche il nostro articolo sul rimborso delle spese di spedizione) e mettiamo che la mia casella di posta quindi presenti almeno cinque o sei email di PayPal tutte nello stesso giorno.
Un carico forse troppo elevato per un sito così? (ovviamente no NdR.) Beh la sera stessa me ne arriva un’altra di email, il mittente sembra lo stesso Paypal, la casella postale è molto simile alle altre, il logo è perfettamente lo stesso, è scritta in inglese, ma a volte faccio anche transazioni fuori dall’Italia, e capita che mi arrivano email scritte in inglese, per altri motivi ovviamente; se leggi tranquillamente l’inglese quasi neanche te ne accorgi.
Bene, come per le altre email la leggo e ne esce scritto che c’è un problema sul mio account PayPal con qualche ipotetica transazione, o magari qualche errore di sicurezza generico dovuto a qualche movimento strano. Beh ti dico la verità, con tutte queste casualità faccio fatica a dire che il mio primo pensiero è stato quello di una truffa online o di phishing. Penso che sia veramente così, potrei aver fatto qualcosa di strano nell’arco della giornata precedente o un venditore potrebbe aver fatto qualche movimento anomalo, non nego che sono preoccupato.
Il primo pensiero è quello di cliccare su quel link veramente ben fatto, quel bel pulsante azzurro lo stesso azzurro di PayPal che convincerebbe chiunque, forse è proprio qui il social engineering, o forse l’ingegneria del cervello che vedendo lo stesso azzurro e lo stesso carattere ci spingerebbe a cliccare su quel link; sì, uso il condizionale perché non ho cliccato.
Bene allora cosa fare? Ho respirato, ho contato fino a dieci, l’avrei fatto anche se l’email mi avesse detto di aver perso 10000 Euro, come anche se mi avesse detto di aver vinto un iPhone da €1000, bisogna sempre contare fino a 10.
Abbiamo scritto diversi argomenti a tal proposito (vedi gli articoli Malware Android e ID Apple bloccato) ma è difficile anche solo pensare che siano abbastanza o che siano sufficienti. Bene qui voglio aggiungere la mia personale testimonianza anche grazie all’aiuto di Paypal, società molto attenta alla sicurezza dei propri utenti. Mi è venuto il lampo di genio di chiamare il call center, sempre molto disponibile, ma in questo punto vogliamo essere fermi, anche se il call center non fosse così disponibile ti invitiamo comunque a rivolgervi ai numeri verdi o a pagamento che siano, per richiedere informazioni se vi doveste trovare in queste condizioni.
Ho googlato call center PayPal, oppure numero verde PayPal, ed è uscito fuori il numero, paypal in questo caso è particolarmente accorto a un sistema di prenotazioni online anche per le chiamate, ma semplicissimo. In due minuti neanche sono al telefono con un operatore preparato, gli spiego il mio dubbio e in men che non si dica mi fa un controllo sul mio account, e dopo aver controllato che non ci fossero avvisi, mi ha subito confermato che era un email falsa, probabilmente di phishing o contenente link a siti virus.
Dopo avergli confessato la mia passione per le truffe online mi ha anche suggerito e ispirato a scrivere questo articolo indicandomi anche diversi punti, alcuni noti altri più interessanti:
- Se si ha un account PayPal registrato in Italia e in italiano non si riceveranno mai comunicazioni in inglese.
- Non cliccare mai link sulle mail, PayPal non invita mai a cliccare sui link.
- PayPal non spiega mai il motivo della mail, o meglio non dice il tipo di problematica, ha introdotto di recente una casella per gli avvisi nel sito, accanto alla login, con un pulsante rappresentato da una campanellina, qui si troveranno sempre gli avvisi riguardanti sicurezza e problematiche dell’account PayPal, (nella nostra casella email potremmo ricevere soltanto avvisi riguardanti una nuova notifica, ma senza averne spiegazione alcuna del tipo e della motivazione; quindi senza essere incitati a cliccare sui link, ma chiedendo di entrare direttamente sul sito di PayPal e di controllare sulla casella degli avvisi, cliccando sulla campanellina).
Questo operatore, disponibile e preparato, di nome Marco, mi ha poi chiesto cortesemente di inoltrare l’email ad un apposito indirizzo, relativo ad un settore dell’azienda che si occupa proprio di truffe informatiche e che avrebbe studiato la mail ed eventualmente cercato di bloccare il sito dannoso, sperando di aver fatto cosa utile ad altri utenti.
Oltre a queste indicazioni, ricordiamo anche alcuni consigli generali per evitare il phishing:
- Ogni volta che ricevi una mail sospetta o di dubbia provenienza, non cliccare sui link e non aprire gli allegati. Come già specificato per Paypal, gli istituti bancari e le aziende serie non richiedono mai informazioni personali tramite email.
- Accedi direttamente al sito del conto o servizio, digitando direttamente l’URL nella barra degli indirizzi del tuo browser web, o tramite motore di ricerca come Google.
In finale quindi questa storia mi ha insegnato e spero ci ha insegnato che non tutti i Call Center sono inutili e poco preparati, e ci ha anche insegnato un’altra strada per combattere le truffe online, i vecchi metodi spesso sono i più efficaci.
Ringraziamo il call center di PayPal per la disponibilità. 😉
