GDPR: anche i cybercriminali hanno una nuova politica sulla privacy

Sicuramente in questi giorni sarete stati tempestati di email inviati da tutti i servizi in vostro uso, in cui venite informati dei cambiamenti alle politiche sulla privacy e della necessità di dovervi iscrivere nuovamente alle varie newsletter qualora desideraste continuare a riceverle.

Può sembrare un flash mob organizzato dalle aziende di tutto il mondo ma purtroppo non lo è, stanno soltato cercando di adeguarsi al nuovo Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, entrato in vigore il 25 maggio scorso.

Il GDPR viene applicato a tutte le aziende attive sul territorio del’Unione Europea e il suo scopo è quello di gestire in modo più responsabile i dati degli utenti, custodendoli in modo più sicuro ed evitando che siano trasferiti senza il consenso diretto dell’utente stesso; inoltre, in caso di una fuga di dati, dovrà essere inviata per tempo la relativa notifica sull’accaduto.

Le aziende non possono più inviare messaggi agli utenti senza il loro consenso, ed è per questo che la vostra casella di posta elettronica è ora tappezzata di messaggi dove vi  si chiede di iscrivervi nuovamente a certi servizi, affinché possiate continuare a riceverli; le aziende hanno bisogno del vostro consenso, ed è quello che i stanno cercando di ottenere n questi giorni con tutte le loro forze.

La truffa a tema GDPR

I cybercriminali hanno subito capito di poter sfruttare questa ghiotta opportunità per appropriarsi dei dati degli utenti. Se ci pensate bene, milioni di persone stanno cliccando su “Accetta” in tanti di quei messaggi senza neanche leggere e stanno digitando i propri dati personali senza pensarci due volte.

Ci siamo imbattuti proprio in una mail di questo tipo che sembra provenire da Apple, in cui si informano i destinatari che il loro ID Apple è stato bloccato e che verrà cancellato entro tre giorni se non vengono confermati i dati riguardanti l’account.

Nel messaggio viene detto anche che Apple non può confermare i dati per la fatturazione degli acquisti, in quanto ciò violerebbe le politica di sicurezza della compagnia. L’account è quindi congelato e sarà cancellato entro tre giorni, a meno che non venga compilato un modulo online per confermare i dati dell’account.

Ovviamente, un messaggio di questo tipo non può provenire da Apple, si tratta semplicemente di phishing.

Chi ha creato questa email ha impiegato il trucco di ingegneria sociale più antico del mondo, ovvero l’intimidazione. La paura di essere esclusi da un account così importante fa agire in maniera incauta gli utenti più ansiosi, che digitano i propri dati senza su siti dove non dovrebbero neanche avvicinarsi. Si tratta di truffe molto frequenti e al contempo efficaci.

Esempio di un’email di phishing riguardante il GDPR e che coinvolge gli account Apple.

Come identificare subito il phishing

Se si mantiene la mente lucida per un momento, è molto facile capire quando si tratta di phishing. Diamo un’occhiata più attenta al messaggio che riguarda l’ID Apple.

Nella maggior parte dei casi, si può capire che ci si trova di fronte a una truffa senza neanche aprire il messaggio. Guardate, per esempio, l’indirizzo email del mittente e l’oggetto dell’email (screenshot). Ovviamente non è normale che l’indirizzo email sia così lungo e composto da una serie di parole generiche e da una sequenza di numeri, soprattutto quando si sa che tutte le email autentiche che riguardando l’account dell’ID Apple provengono dall’indirizzo appleid@id.apple.com.

E anche l’oggetto della mail contiene numeri strani che non ha nessun senso che si trovino lì. Gli spammer li usano per creare rumore e per far passare il messaggio come autentico. Fate attenzione al tag RE, che si usa per indicare la risposta a un messaggio. È molto sospetto ricevere un’email di risposta da un’azienda quando non si è mai mandato un messaggio (anche in questo caso, i cybercriminali fanno così per evitare che l’email finisca nella cartella spam).

E se queste inconguenze su oggetto e mittente non fossero sufficienti, dando una lettura al corpo del testo verrà disspato ogni dubbio. Nessuna azienda con un minimo di professionalità si dirigerebbe al destinatario copiando l’indirizzo emai invece di usare nome e cognome.

Un altro modo per individuare un’email truffa è analizzare il link su cui viene richiesto all’utente di cliccare. Posizionando il cursore del mouse sul testo del link, vi apparirà l’indirizzo a cui verreste inviati se cliccaste sul link. Se si tratta di un indirizzo autentico, non dovrebbe apparire un nome di dominio strano o un link accorciato con bit.ly o simili.

Come proteggere i vostri dati

• Non digitate i vostri dati su siti sospetti. Tutte le operazioni che coinvolgono i dati personali dovrebbero essere effettuare sui siti ufficiali delle aziende;
• Assicuratevi che il messaggio ricevuto sia autentico prima di cliccare sui link che contengono e dove andranno poi digitati i vostri dati personali. Verificate l’attendibilità dell’indirizzo del mittente, l’oggetto della mail e il contenuto del messaggio. Se c’è qualcosa che vi sembra strano, non cliccate su nessun link e mettetevi in contatto con il team di assistenza tecnica del servizio in questione. Sicuramente vi chiaranno ogni dubbio;
• Avvaletevi sempre di una soluzione di sicurezza come Kaspersky Internet Security dotata di componenti anti-spam e anti-phishing. Farà una scrematura dei messaggi ambigui e vi metterà in guardia di link sospetti.