Immagina di ricevere una mail che ti avvisa che il tuo account non è sicuro e che devi aggiornarlo subito. Fin qui, è il classico schema del phishing. Ma poi, in fondo al messaggio, noti un box giallo con un segnale di pericolo:
“Nota: Se riceve un messaggio come questo via e-mail, presti attenzione: le e-mail di phishing spesso hanno un aspetto simile…”
Siamo di fronte al meta-phishing: il truffatore indossa la maschera della vittima per guadagnare la tua fiducia.
La psicologia del “Doppio Gioco”
Perché un hacker dovrebbe dirti come riconoscere una truffa proprio mentre sta cercando di derubarti? La risposta sta nella psicologia cognitiva:
- Autorità e Trasparenza: Inserendo un avviso di sicurezza, il mittente sembra “onesto”. Pensiamo: “Se volesse truffarmi, non mi darebbe consigli su come difendermi, giusto?”. Sbagliato.
- Abbassamento delle difese: Una volta che l’utente legge l’avviso di sicurezza, il suo “filtro del sospetto” si disattiva. L’avviso funge da scudo psicologico per l’azione malevola (il tasto azzurro al centro).
- Ironia del destino: Il testo avvisa di “controllare che il link porti davvero al sito ufficiale”, sapendo perfettamente che la maggior parte degli utenti, rassicurata dal tono professionale, non lo farà.
I segnali che smascherano l’inganno
Nonostante il tocco di classe finale, questa mail urla “pericolo” da ogni riga:
- Il saluto generico: Il campo
##Email##non è stato compilato correttamente dal software di invio massivo. Un’azienda vera conosce il tuo nome. - L’urgenza indotta: Frasi come “il prima possibile” o “per proteggere i suoi dati” servono a metterti fretta, impedendoti di riflettere.
- Il mittente reale: Spesso, passando il mouse sul nome del mittente, appare un indirizzo strampalato che non ha nulla a che fare con
@sumup.it.
Come difendersi dal “Truffatore Onesto”
La regola d’oro rimane una sola: mai cliccare sui link diretti nelle mail di “aggiornamento sicurezza”.
Se ricevi un messaggio del genere, chiudi la mail, apri il browser e digita manualmente l’indirizzo del sito ufficiale o accedi dall’app. Se c’è davvero un problema, troverai l’avviso nella tua area riservata.
Analizzando il link che hai fornito (go.undiksha.ac.id/...), la natura della truffa diventa ancora più evidente e paradossale. Ecco un approfondimento per l’articolo, focalizzato proprio sull’incoerenza tra il “consiglio di sicurezza” nella mail e la destinazione reale del clic.
L’Articolo: L’inganno del “Sito Governativo” (che non lo è)
Se l’avviso giallo nella mail diceva “Controlli sempre che il link porti davvero al sito ufficiale di SumUp”, il link postato è la prova definitiva del dolo.
1. L’abuso dei domini istituzionali
Il link punta a undiksha.ac.id. Questo è il dominio ufficiale dell’Università di Istruzione di Ganesha (Undiksha), in Indonesia. I truffatori utilizzano spesso una tecnica chiamata “URL Shortener” o “Open Redirect” su siti governativi o accademici (che hanno un’alta reputazione per i filtri antispam) per nascondere la destinazione finale.
In pratica, usano il sito dell’università come “ponte” per non far scattare gli allarmi del tuo provider di posta, sapendo che un link che contiene .ac.id (accademico) sembra più affidabile di un oscuro sito .ru o .biz.
2. Il paradosso finale: “Fai come dico, non come faccio”
Ecco dove la beffa diventa totale:
- La Mail ti dice: “Verifica che il link porti a SumUp”.
- Il Link ti porta: In Indonesia, su un sito universitario che probabilmente è stato hackerato o che ha una vulnerabilità che permette di reindirizzare il traffico altrove.
L’utente meno esperto, leggendo il consiglio di sicurezza, si sente rassicurato dalla “trasparenza” dell’azienda e clicca senza guardare la barra degli indirizzi. È il trionfo dell’ingegneria sociale: usare la verità (il rischio phishing) per vendere una menzogna (il link malevolo).
3. Cosa succede se clicchi?
Solitamente, dopo essere passato per il “ponte” indonesiano, verresti trasportato su una copia identica del sito di SumUp (ospitata su un server pirata). Lì ti verrebbe chiesto di inserire:
- Credenziali di accesso (per rubarti il conto).
- Dati della carta di credito (per svuotarla).
- Documenti d’identità (per furto d’identità).
Conclusione: La regola del “Cerca, non Cliccare”
Questo caso è una lezione preziosa. Quando una mail ti avverte di un problema di sicurezza, non usare mai i pulsanti contenuti nel messaggio, specialmente se un istante dopo averli analizzati scopri che portano verso università indonesiane o domini sconosciuti.
Il truffatore che ti invita a non farti truffare non è “gentile”: sta solo testando quanto la sua maschera di autorevolezza sia efficace nel farti ignorare l’evidenza.