Ho ricevuto di recente un paio di email false da Netflix, il noto servizio di trasmissione di film e serie TV via internet. L’oggetto del messaggio è “Aggiornamento richiesto – Account sospeso!”. Segue un testo che mi invita a premere un link per inserire i dati della mia carta di credito e riattivare l’abbonamento.
Si tratta ovviamente dell’ennesimo tentativo di “phishing”. Il termine “phishing” indica un particolare tipo di truffa informatica finalizzata al furto di dati sensibili, tra i quali:
- Email e password di accesso a qualche servizio, ad esempio Facebook
- Credenziali di accesso al tuo conto bancario
- Dati di pagamento di una carta di credito
Il tutto per dare ad un hacker la possibilità di impersonarti (far finta di essere te per insultare o truffare qualcuno, ad esempio). Oppure di acquistare beni e servizi utilizzando i tuoi soldi.
La tecnica è semplice: ricevi una mail da “Netflix”, da “Banco BPM” o da qualunque altro mittente che ti possa suonare familiare o affidabile. Nella mail ti si richiede di inserire dati di accesso o di pagamento, ed alcune persone lo fanno per distrazione, perché vanno di fretta, oppure perché non sanno come verificare l’autenticità della richiesta.
Come si fa a riconoscere le email false da Netflix, o da qualunque altro destinatario? È in realtà molto semplice: basta premere sul nome del mittente, e ti verrà mostrato il suo indirizzo completo. Nel mio caso, questo era “support@net-service.com”. Cosa c’è che non va in questo indirizzo?
Gli indirizzi email seguono questo formato: nome, chiocciolina (“@”), nome a dominio. Quella che ti interessa è l’ultima parte, ovvero il nome a dominio. Cosa vuol dire questo strano termine? Semplificando molto, è un nome che identifica in maniera univoca un certo sito web. Netflix è un servizio il cui sito web è “netflix.com”, pertanto le mail inviate na Netflix dovrebbero tutte avere “netflix.com” come nome a dominio. Esempi di indirizzi mail appartenenti a Netflix sono:
- support@netflix.com
- customercare@netflix.com
- noreply@netflix.com
- .. eccetera
Quando ricevi email del genere, non inserire mai le tue credenziali di accesso o i tuoi dati di pagamento. Verifica sempre l’indirizzo completo e, se il nome a dominio non appartiene al mittente, cestina il messaggio.