Le lettere gemelle che svuotano i conti: quando una "a" non è davvero una "a"
Un indirizzo email identico a quello della vostra banca. Eppure è una truffa. Il segreto? Un carattere cirillico che l'occhio umano non può distinguere.
Immaginate di ricevere un'email dalla vostra banca. Oggetto: "Verifica urgente delle credenziali". Il mittente è bаnca@ esempio.it, un indirizzo che conoscete a memoria.
Aprite il messaggio, cliccate sul link, inserite i vostri dati. E in quel momento avete consegnato le chiavi del vostro conto corrente a un truffatore.
Come è possibile? L'indirizzo sembrava perfetto. E in effetti lo era, almeno per i vostri occhi. Ma non per il computer. Perché quella prima "а" in "bаnca" non è la lettera latina che usate ogni giorno. È una "а" cirillica, identica nell'aspetto ma completamente diversa per un sistema informatico. Benvenuti nel mondo degli attacchi omografi, una delle truffe digitali più insidiose degli ultimi anni.
Alfabeti invisibili dietro lo schermo
Il problema nasce da una caratteristica del sistema Unicode, lo standard che permette ai computer di rappresentare migliaia di caratteri diversi: lettere latine, cirilliche, greche, arabe, cinesi e così via. Molti di questi caratteri, pur appartenendo ad alfabeti completamente diversi, hanno una forma visiva identica o quasi. La "а" cirillica (U+0430) e la "a" latina (U+0061) sono gemelle perfette. Lo stesso vale per la "е" cirillica e la "e" latina, la "о" cirillica e la "o" latina, e diversi altri caratteri.
I truffatori sfruttano questa somiglianza per creare indirizzi email e nomi di dominio apparentemente legittimi. Registrano domini che a colpo d'occhio sembrano identici agli originali. Quando l'utente riceve un'email da questi indirizzi o visita questi siti, non nota nulla di strano. La trappola è perfetta.
La tecnica prende il nome di "attacco omografo", dal greco: "stessa scrittura". E funziona proprio perché il nostro cervello non è programmato per distinguere caratteri identici provenienti da alfabeti diversi. Ciò che per noi è una semplice "a" è, per un computer, un'entità completamente diversa a seconda che provenga dall'alfabeto latino o cirillico.
Il linguaggio segreto: Punycode
Ma come fa il computer a gestire questi caratteri speciali nei nomi di dominio? Entra in gioco il Punycode, un sistema di codifica che traduce i caratteri non-ASCII (cioè quelli che non fanno parte dell'alfabeto latino standard) in una sequenza compatibile con i vecchi sistemi DNS, l'infrastruttura che fa funzionare Internet.
Quando un dominio contiene caratteri speciali, il browser lo converte automaticamente in Punycode. La lettera cirillica "а" diventa "xn--80a". La "е" cirillica diventa "xn--80ae". Una "o" cirillica si trasforma in "xn--o". Queste sequenze che iniziano con "xn--" sono la firma digitale dei caratteri non latini.
Facciamo un esempio concreto. Se un truffatore registra il dominio "bаnca. it" usando la "а" cirillica, il computer lo interpreta come "xn--bnca-8ve. it". Per l'occhio umano resta "banca. it". Per il sistema informatico è un dominio completamente diverso da "banca. it" scritto con caratteri latini. Ed è qui che si annida l'inganno.
Lo strumento per smascherare la truffa
Esiste un modo semplice per verificare se un indirizzo email o un nome di dominio contiene questi caratteri gemelli. Il convertitore Punycode, disponibile gratuitamente online, rivela la vera natura di un indirizzo sospetto.
Il sito https://www.mvmnet.com/it/tools/punycode-converter/ (ad esempio) offre questo servizio in modo immediato e senza bisogno di competenze tecniche. Funziona così: copiate l'indirizzo email completo o il nome del dominio che vi sembra sospetto. Incollatelo nel campo "Domain Name" del convertitore. Premete il pulsante per la conversione.
Se nel risultato compaiono sequenze come "xn--80a", "xn--e1a", "xn--p1ai" o altri codici simili, significa che almeno uno dei caratteri nell'indirizzo originale non è quello che sembra. È un carattere cirillico, greco o di un altro alfabeto, mascherato da lettera latina. È il segnale che qualcosa non torna.
Prendete il nostro esempio iniziale: "bаnca@ esempio.it". Se lo passate al convertitore Punycode (concentrandovi sulla parte prima della @, cioè "bаnca"), otterrete qualcosa come "xn--bnca-8ve". La presenza di quella sequenza "xn--" vi dice immediatamente che c'è un carattere estraneo. È la prova che non state guardando l'indirizzo della vera banca, ma una sua imitazione costruita con caratteri cirillici.
Come difendersi: cinque regole pratiche
La consapevolezza è la prima difesa. Ma servono anche comportamenti concreti per non cadere nella rete di questi truffatori.
Primo: non cliccate mai sui link contenuti in email che vi chiedono di "verificare i dati", "sbloccare il conto", "confermare l'identità" o simili. Anche se l'indirizzo del mittente vi sembra corretto. Le banche serie non chiedono mai credenziali via email.
Secondo: digitate manualmente l'indirizzo del sito della vostra banca nella barra del browser. Non usate link ricevuti per email, SMS o messaggi. È l'unico modo per essere certi di arrivare al sito autentico.
Terzo: controllate sempre con attenzione la barra degli indirizzi del browser quando navigate su siti che richiedono dati sensibili. Se notate qualcosa di strano, anche solo un carattere che vi sembra fuori posto, chiudete immediatamente la pagina.
Quarto: quando ricevete email sospette, copiate il nome di dominio e verificatelo con il convertitore Punycode. Bastano pochi secondi per scoprire se dietro un indirizzo apparentemente normale si nasconde una truffa.
Quinto: diffidate sempre di messaggi con toni allarmistici, che vi spingono ad agire "immediatamente" o "entro poche ore". L'urgenza è una leva psicologica che i truffatori usano per impedirvi di riflettere.
Vale la pena sottolineare che l'esempio qui riportato – "bаnca@ esempio.it" – è puramente illustrativo e non si riferisce ad alcuna istituzione reale. È uno schema di truffa generico che i criminali adattano a qualsiasi banca, servizio di pagamento o piattaforma online.
L'alfabeto che non si vede
Dietro lo schermo del vostro computer o del vostro smartphone esistono alfabeti invisibili. Caratteri che sembrano identici ai vostri occhi ma che, per le macchine, sono entità distinte. I truffatori hanno imparato a sfruttare questa zona grigia tra la percezione umana e l'elaborazione digitale.
La lezione è chiara: fidarsi dei propri occhi non basta più. Alcune truffe lavorano proprio su ciò che non riusciamo a vedere a colpo d'occhio, su differenze microscopiche che sfuggono alla nostra attenzione ma che fanno tutta la differenza per un sistema informatico. Servono abitudine al controllo, un pizzico di sana diffidenza e pochi, semplici strumenti come il convertitore Punycode.
In un mondo digitale sempre più complesso, la sicurezza non è un optional. È una competenza necessaria, alla portata di tutti. Basta sapere dove guardare – e quali strumenti usare per vedere davvero.