L’importanza del mittente di una mail è fondamentale perché è il primo segnale che ti fa capire se hai davanti una mail legittima oppure un phishing.
Perché è importante il mittente di una mail
Il mittente di una mail è colui che te l’ha spedita e, in un mondo ideale, dovrebbe corrispondere a chi ti dice di essere.
Purtroppo però non siamo in un mondo ideale e le email sono il mezzo più utilizzato per le truffe e il phishing.
Facciamo un esempio per chiarire il concetto.
Se ti arriva un’email che pubblicizza prodotti Apple, ti aspetti che il mittente sia Apple, idem se ti arriva un’email di Netflix, il mittente dovrebbe essere Netflix, così come dovrebbe essere Intesa San Paolo se l’email parla di servizi di Intesa San Paolo.
Finché si tratta di email pubblicitarie poco importa andare a controllare il mittente. Se un’email di Netflix ti chiede di abbonarti oppure ti invita a vedere una serie nuova e tu sei abbonato, non c’è alcun bisogno di verificare il mittente.
Le truffe con il mittente di una mail
Nelle email di phishing e nelle truffe in generale però, ti viene mandata un’email con un link che vieni sollecitato a cliccare e questo link magari ti porta su un sito che ti chiede credenziali di accesso o dati della carta di credito, quindi informazioni sensibili.
Allora sì che diventa fondamentale controllare il mittente di una mail perché se il mittente è regolare, allora molto probabilmente l’email è legittima, altrimenti ti trovi di fronte a un’email di phishing.
Già, tu dirai, ma come faccio a sapere qual’è il mittente corretto?
Come sapere qual’è la mail corretta del mittente
Non è possibile saperlo con precisione ma è possibile sapere da che dominio l’email viene inviata. Per fare questo è sufficiente fare una semplice e veloce ricerca su Google.
Torniamo al caso delle tre email precedenti di Apple, Netflix e Intesa San Paolo.
Se fai una ricerca su Google con questi termini otterrai questi risultati
Il primo risultato ti dice chiaramente il dominio reale dell’azienda che, negli esempi è rispettivamente
- apple.com o apple.it
- netflix.com
- intesasanpaolo.com
Quindi il mittente DEVE essere su uno di questi 3 domini a seconda dell’email che ti è arrivata. Il mittente sarà ******@apple.com o ******@netflix.com e ******@intesasanpaolo.com.
Il ****** a te non interessa perché non puoi saperlo, anche se alla fine sarà il classico noreply oppure info, ma il dominio dell’email DEVE essere quello che tu hai trovato, altrimenti c’è qualcosa che non funziona.
Se quindi un’email che ti pare mandata da Intesa San Paolo ha come mittente [email protected] allora quell’email è reale, se ha qualsiasi altro mittente molto probabilmente è un phishing.
Guarda questo esempio inviatomi da un lettore
L’email è di CheBanca ed è legittima perché il mittente è no-reply@chebanca.it che è il vero dominio della banca in questione.
Se fosse arrivata da un qualsiasi altro mittente, sarebbe sicuramente stata una truffa o un phishing.
Il problema dello smartphone e del mittente
Purtroppo tantissimi controllano la posta solo dallo smartphone e dallo smartphone, a causa del poco spazio a disposizione, di solito non viene mostrato il mittente reale, cioè il suo indirizzo email, ma solo il nome.
Dipende da che client di posta elettronica utilizzi sullo smartphone ma in genere è così.
Questa è la stessa identica email vista dal cellulare
Come puoi vedere, non viene mostrato l’indirizzo email del mittente ma solo il nome e il nome è falsificabile in modo semplicissimo. Tu potresti vedere CheBanca come nome e avere un mittente come [email protected] che non è sicuramente un indirizzo email di CheBanca e indica un phishing.
Questo è il motivo per cui un sacco di tentativi di phishing vanno a buon fine. Le persone leggono il nome, vedono che corrisponde, non vanno più in profondità e si fanno fregare.
Se usi un telefono è sufficiente che tu con il dito premi sul nome del mittente e ti dovrebbe apparire una scheda che ti mostra l’indirizzo email da cui quell’email è partita.
Fallo sempre! Soprattutto quando hai dei sospetti oppure prendilo come abitudine e fallo sempre e comunque. Ci vogliono 20 secondi ma sono 20 secondi che potrebbero evitarti di cadere in qualche phishing pericoloso.