La truffa si ”veste” da studio legale: cronaca di un tentativo di phishing (e come non cascarci!)
INDICE
Fate attenzione!
Carissimi, oggi non vi parlo di un altro servizio al cittadino, riflessioni o podcast, ma di un’esperienza personale che credo sia fondamentale condividere, soprattutto per chi, come me, gestisce un blog, una pagina social oppure una piccola attività online. La scorsa settimana ho ricevuto un’email che, a primo impatto, sembrava del tutto autentica. Ammetto che mi ha fatto riflettere per qualche istante, nonostante io sia pienamente consapevole che tutto ciò che pubblico o scrivo, sia sui social media che sul sito web, è sempre conforme alle normative vigenti. Presto molta attenzione a rispettare rigorosamente le regole, sia per garantire trasparenza e correttezza, sia per offrire contenuti affidabili e di qualità. Tuttavia, l’episodio mi ha ricordato quanto sia importante mantenere alta la guardia di fronte a comunicazioni che potrebbero risultare ingannevoli.
La comunicazione arrivava, apparentemente, da un prestigioso studio legale per conto di una famosissima casa discografica. L’oggetto era serio: “Discussione sul contenuto con caratteristiche di ‘certificazione/ambasciatore'”. Già qui, ho comiciato a sorridere…e ora vi spiego il perchè!
Ah, ovviamente, l’email è stata inviata all’indirizzo ufficiale del mio blog, e non alla mia casella di posta personale.
La trappola (quasi) perfetta
Devo ammetterlo: questa volta si sono superati. L’email era scritta in un italiano legale quasi impeccabile e elencava una serie di presunte violazioni, studiate per colpire ogni possibile punto debole di un creatore di contenuti. Mi contestavano:
- L’utilizzo di immagini e loghi (governativi e istituzionali).
- Persino il contenuto delle mie chiacchierate nei podcast, accusandomi di aver parlato di certi argomenti senza un’autorizzazione formale.
La cosa che rende tutto ancora più assurdo è che queste accuse ignorano completamente la natura del mio blog. SOScittadino è un progetto personale che non ha pubblicità, non ha una Partita IVA e non vende assolutamente nulla. Il suo unico scopo è aiutare la cittadinanza con contenuti informativi (scritti, audio e video) per semplificare leggi e novità, ecc… Quindi, da dove verrebbero queste presunte violazioni commerciali?
Inoltre, per quanto riguarda i podcast, ogni “chiacchierata” (non sono un giornalista, quindi non faccio “interviste”) avviene solo dopo aver ricevuto un consenso esplicito tramite email o WhatsApp, che conservo sempre come prova. E per le riprese in luoghi pubblici? È semplice: è consentito, e la prassi comune, che seguo sempre, è oscurare i volti di chi non desidera apparire.
Insomma, accuse pretestuose, create solo per spaventare chi è poco avvezzo alla tecnologia. E poi, il colpo da maestro: la promessa di un allegato contenente “tutte le prove”. Una mossa studiata per farti cliccare in preda al panico.
I campanelli d’allarme
Ecco i segnali che hanno smascherato l’inganno e che tutti dovrebbero imparare a riconoscere:
Primo punto. IL MITTENTE: ”la prova regina”. Questa è la verifica più importante. La prima cosa da fare è ignorare il nome che leggete in grassetto (es. “Studio Legale Rossi”). Quello è il “nome visualizzato” e può essere falsificato con un clic. La prova del nove è l’indirizzo email reale. Come si controlla? Su computer, basta passare il mouse sopra il nome del mittente; su smartphone, di solito basta toccare il nome. Si aprirà una finestrella che mostrerà l’indirizzo completo. Ed eccola lì, la pistola fumante: un comunissimo indirizzo @gmail.com. Ricordate: nessuno studio legale o azienda seria vi contatterà per questioni formali da un account di posta generico.
Punto 2. Quell’allegato che prometteva “prove” era in realtà il vero obiettivo della truffa. Conteneva quasi certamente un viru pronto a infettare il vostro computer o smartphone.
Punto 3. Le classiche incongruenze nel testo. L’email iniziava parlando di una nota casa discografica, ma poi citava un altro marchio che non c’entrava nulla. Un classico errore da “copia-incolla”.
Infine, sappiate che, di solito, le comunicazioni legali serie arrivano tramite PEC (Posta Elettronica Certificata) o raccomandata con ricevuta di ritorno. Non tramite una semplice email.
”Cavallo di ritorno” o phishing?
Questa non è una semplice “truffa”, ma una tecnica chiamata phishing. L’obiettivo è “pescare” (dall’inglese fishing) le vostre informazioni o, come in questo caso, indurvi a compiere un’azione dannosa.
Cliccando su quell’allegato, si possono scatenare due scenari:
- Infezione del dispositivo: Un virus (malware) si installa per rubare le password (conti, social, posta) oppure un ransomware blocca i file chiedendo un riscatto in Bitcoin.
- Furto della pagina/account: Questo è un obiettivo sempre più comune. Spesso mirano a impossessarsi delle vostre pagine social o dei vostri blog. Una volta ottenuto l’accesso, cambiano nome e password, per poi vendere la pagina a terzi. Perché? Perché una pagina con un buon numero di follower ha un valore.
La cosa che fa riflettere è che la mia nuova pagina Facebook è stata creata da zero a fine agosto. Questo dimostra che gli attacchi sono a tappeto: sparano nel mucchio sperando che qualcuno ci caschi, non importa se grande o piccolo. Chiunque è un potenziale bersaglio.
Cosa fare (e non fare) in questi casi
Se ricevete un’email simile, mantenete la calma e seguite questi passaggi:
- NON CLICCATE SU NULLA. Né su link, né (soprattutto) sugli allegati.
- NON RISPONDETE.
- VERIFICATE IL MITTENTE come spiegato sopra.
- BLOCCATE E CANCELLATE. Segnalate l’email come phishing/spam e cancellatela.
Proteggiamo il nostro lavoro online, non solo creando buoni contenuti, ma anche imparando a riconoscere chi vuole sottrarcelo con l’inganno. Fate attenzione, sempre.
