Phishing, vishing, romance scam. I criminali informatici escogitano mezzi nuovi per sfilarci soldi e impossessarsi dei nostri dati. Come rimanere informati per riconoscere le truffe e difenderci?
Le truffe online sono una minaccia intergenerazionale che colpisce tutti, dai boomer alla Gen Z, per non parlare dei nostri cari nonni, a cui abbiamo regalato uno smartphone, con la speranza di stare più tranquilli.
Ognuno di noi pensa di essere al riparo, ma quanto ne sappiamo veramente delle minacce che nasconde l’utilizzo di un servizio digitale, come quello di una banca o l’acquisto di un prodotto online?
Come prima cosa vanno conosciute le minacce a cui si va incontro: non c’è solamente il phishing. I tentativi di frode hanno molte forme diverse e bisogna riconoscerle in fretta e sapere cosa evitare quanto ci si imbatte in ognuna di loro.
Per capire di cosa stiamo parlando è sufficiente citare un rapporto della Polizia Postale: i casi di truffe online lo scorso anno sono aumentati del 27%, per un totale di oltre 18 mila reati di furto di credenziali per l’accesso a sistemi di home banking, di numeri di carte di credito, di chiavi private di wallet di criptovalute.
Il valore complessivo è di 36 milioni di euro sottratti con le truffe online in Italia. Non solo: se parliamo di furti di identità, sono stati 1,8 milioni gli allarmi rilevati sul dark web, in crescita di quasi del 60% rispetto al 2020.
L’Italia è al sesto posto assoluto tra i Paesi più colpiti al mondo per furto di email e password online.
Continuare a rimanere informati sulle tecniche utilizzate dai truffatori online è quindi fondamentale per difendersi da questi attacchi.
Un buon punto di partenza è il blog di N26, banca 100% digitale, a disposizione di chi vuole saperne di più con approfondimenti sempre aggiornati sulla sicurezza, che da oggi propone anche un quiz per testare le proprie conoscenze sulle truffe più moderne.
Proviamo a conoscere meglio le truffe più diffuse in Italia, perché se le conosci..le eviti!
Tutto quello che devi sapere sulle truffe online
In principio era il phishing
Dicevamo del phishing: sicuramente tutti ne avete sentito parlare e forse qualcuno ci è anche cascato. Sì perché il phishing è forse il più antico trucco impiegato dagli hacker, sin dall’inizio dell’era del Web, con cui si cerca di catturare la preda tramite un’esca, ossia tramite una email.
Il phishing si presenta come una comunicazione proveniente da fonti affidabili e porta un messaggio solitamente caratterizzato da un tono urgente che spinge il ricevente a compiere un’azione immediata: ad esempio, una comunicazione email che sembra provenire dalla propria banca, nella quale viene richiesto di aggiornare i propri dati cliccando su un link.
Chi lo fa viene reindirizzato a un sito web identico a quello originale (con lo stesso logo, ad esempio), ma che è invece truffaldino: gli hacker lo utilizzano per estorcere dati sensibili, come password, pin di conferma o numeri di conto.
Come capire che si tratta di un’email di phishing? La prima cosa è osservare il contenuto del messaggio. Queste email contengono informazioni personalizzate, marchi aziendali o URL all’apparenza autentici, ma hanno sempre quel piccolo dettaglio che consente di capire che sono fraudolente: errori di grammatica, toni di comunicazione equivoci, indirizzi di provenienza o URL strani.
Soprattutto le email, e ancor di più le mail con un link al loro interno, non sono mai uno strumento che una banca come N26 utilizzerebbe per chiederci di fornire o modificare le nostre informazioni di accesso al conto.
Poi arrivò lo smishing
Analogo al phishing è lo smishing, che però utilizza un messaggio di testo, un SMS.
La vittima di un attacco di smishing riceve un messaggio con toni allarmanti, che la spinge a cliccare su un link o, ad esempio, a effettuare un bonifico per pagare una bolletta, una fattura, o anche ad aiutare una persona in difficoltà.
In questo modo i truffatori puntano a rubare denaro o anche solo a impossessarsi di dati personali come coordinate bancarie, numeri di carta di credito, indirizzi email e altro.
Lo smishing è più subdolo del phishing, perché i criminali fanno leva sul fatto che si tende a fidarsi di più di un messaggio sul telefono piuttosto che di una email (che si teme, giustamente, essere di phishing o che finiscono nello spam).
I messaggi di smishing spingono il destinatario a rispondere o a cliccare su un link arrivato tramite SMS, utilizzando tecniche di ingegneria sociale, che è una forma di manipolazione psicologica che sfrutta sentimenti come paura, senso di colpa o avidità per convincere le vittime a interagire con il messaggio, spingendole ad agire senza pensare, quasi di impulso.
Il pharming, la forza dell’automatizzazione
Poi c’è il pharming, che è molto simile al phishing, perché punta sempre a estorcere informazioni sensibili.
Se per il phishing però viene richiesto di cliccare su un link che porta a una pagina web fraudolenta, nel caso del pharming vengono utilizzati dei codici, per cui durante la navigazione su un sito web si viene reindirizzati automaticamente al sito fraudolento attraverso la manipolazione del traffico sul sito web originario o l’installazione di virus e malware sul computer della vittima.
Gli indizi per capire che si tratta di un attacco di pharming sono sottili: errori ortografici e grammaticali, formattazioni strane, dimensione diversa dei primi caratteri sulla pagina web fraudolenta.
Come ci si difende da questi attacchi? Essendo un attacco automatizzato, lo si fa potenziando le componenti tecniche di sicurezza del proprio computer: antivirus, antispyware, antimalware e firewall.
È buona norma anche che il browser utilizzi il protocollo di connessione sicura (HTTPS), o SSL, che viene indicato con il simbolo del lucchetto prima del campo dell’indirizzo URL.
Ma non basta: secondo un rapporto dell’Anti-Phishing Working Group, il 74% dei siti web di phishing utilizza SSL.
Quindi per essere sicuri sarebbe meglio dotarsi di una rete VPN (Virtual Private Network, ovvero rete privata virtuale) che utilizza un Domain Name System (DNS, il sistema di nomi di dominio) affidabile.
La regola aurea, però, è cambiare la password di fabbrica del router quando lo si installa a casa o in azienda.
Vishing (you were here)
Un attacco di vishing è simile al phishing, ma avviene per telefono o tramite un messaggio vocale, con cui i truffatori cercano di accedere ai dati personali delle vittime o di convincerle a effettuare un bonifico a loro favore.
Anche il vishing, quindi, è una truffa che sfrutta la tecnica di ingegneria sociale, facendo leva su sentimenti come fiducia, paura, avidità o altruismo.
Ad esempio, un truffatore potrebbe cercare di spaventare la vittima dicendole che i suoi soldi sono in pericolo, o di allettarla con la promessa di un investimento redditizio.
Spesso i criminali informatici si spacciano per dipendenti o agenti di una banca, per funzionari dell’Agenzia delle Entrate o per agenti assicurativi e parlano di argomenti come il conto corrente compromesso, le tasse da pagare o, nel deprecabile caso di raggiri agli anziani, di pensione in pericolo.
Anche qui la regola aurea è: non fornire mai i propri dati sensibili a persone sconosciute, tanto meno comunicarli per telefono.
Le frodi con carta di debito
La frode con carta di debito si verifica quando qualcuno riesce ad accedere alla nostra carta di debito, o ai relativi dati, per effettuare acquisti o prelievi non autorizzati.
I truffatori possono entrare in possesso dei dati della carta in diversi modi: utilizzando uno skimmer (cioè un dispositivo che viene fatto funzionare in prossimità di uno sportello automatico e che copia i dati e il pin della carta di debito), o, quando si effettua un pagamento online, con il furto dei dati dal sito attraverso cui viene effettuato il pagamento.
Ci si accorge che una truffa è stata perpetrata con la carta di debito notando movimenti sospetti e inspiegabili sul conto corrente, o si riceve una notifica istantanea di acquisti che non sono stati effettuati.
In ogni caso, le vittime possono difendersi in questi casi effettuando una denuncia e avviando una procedura di chargeback con la propria banca. Il modo migliore per mitigare i rischi è controllare il saldo e le transazioni sul conto corrente costantemente, utilizzando un’app per smartphone o di home banking.
Pensavo fosse amore e invece era una truffa: il romance scam
Ebbene sì, ci sono anche le truffe romantiche che, con quelle perpetrate agli anziani, sono le peggiori di tutte: si chiamano romance scam.
Sono truffe online che sfruttano il primo sentimento umano, l’amore, o comunque la forte empatia umana.
Le persone vengono avvicinate con insistenza, solitamente tramite social media, indotte prima a fare amicizia, poi a fidarsi, fino a tessere una relazione personale ma virtuale, a distanza. Instaurata questa, dopo qualche giorno arriva la prima richiesta di denaro.
Per evitare di incappare nel romance scam bisogna controllare le attività online e i social della persona in questione, informarsi su chi è, che vita fa, che relazioni ha, quanto sono durature, verificare se esistono conoscenze in comune su cui poter fare verifiche.
Alla base di tutto, bisogna diffidare delle false narrazioni: spesso i truffatori romantici creano storie che evocano determinati sentimenti nei loro bersagli.
Anche in questo caso, rimane valida la regola base: bisogna condividere le proprie informazioni personali solamente quando necessario. E quindi meglio restringere le proprie impostazioni sulla privacy sui social network.
Ma chi siamo noi sui social?
E siamo arrivati al punto dolente, alla porta sempre aperta: i social network.
Per funzionare le piattaforme di social media chiedono di fornire informazioni personali, ma condividere questi dati espone al rischio di furti d’identità.
Secondo la Commissione Europea il 12% degli utenti internet europei ha subito frodi online e in un caso su dieci si è trattato di un furto di identità.
Ma come mai i furti d’identità sui social funzionano così bene? Innanzitutto, siamo tanti! Statista ha stimato infatti che nel 2025 la comunità online raggiungerà un numero pari a 4.4 miliardi di utenti.
Tendiamo inoltre a fidarci di chi conosciamo, e sui social ci intratteniamo con parenti e amici e abbassiamo la guardia.
Ci sono poi ragioni tecniche dato che su queste piattaforme il malware circola meglio e più liberamente rispetto ai siti web.
E quelle economiche: i furti d’identità sui social sono lucrativi, valgono vari miliardi di dollari all’anno.
Come funzionano? I furti avvengono tramite account falsi: i criminali informatici creano falsi profili Facebook, Instagram e Twitter per mandare messaggi a tutti i contatti chiedendo soldi, magari sotto forma di donazione per cause benefiche inesistenti.
Poi ci sono le finte pubblicità di prodotti o servizi inesistenti, cliccando sui quali si viene reindirizzati a una landing page fasulla dove, per acquistare il fantomatico prodotto, è necessario inserire il proprio nome, i dati della carta e l’indirizzo.
Così facendo i dati possono essere utilizzati per prelevare soldi direttamente dal conto o essere venduti ad altri criminali.
Le precauzioni: come fidarsi della propria password
Per evitare tutte queste minacce ci sono varie precauzioni da adottare, come impostare password sicure. Ma non solo: come abbiamo visto, la protezione nasce dal comportamento quotidiano, dal modo in cui utilizziamo gli strumenti come lo smartphone e il computer, mantenendo sempre un occhio vigile.
Cominciamo allora a dire che la password è come la chiave di casa, deve essere unica: in questo modo, nessuno può indovinarla e accedere, per esempio, alla casella di posta o al conto corrente.
Esistono diverse tecniche che possono aiutare a sceglierne una sicura e difficile da indovinare.
In generale bisogna evitare ripetizioni o sequenze di numeri: se la password include elementi ripetuti oppure una serie di cifre, sarà più facile che gli algoritmi usati dagli hacker la indovinino.
Poi non bisogna utilizzare parole o numeri che rimandino alla propria persona: è importante evitare l’uso di numeri o parole che siano direttamente collegati alla propria sfera privata, come l’indirizzo di casa, la data o il luogo di nascita.
Una tecnica che aumenta la sicurezza della password è scegliere una sequenza casuale, formata per esempio da quattro parole complete e altri caratteri. Importantissimo da ricordare: non va mai utilizzata la stessa password per diverse piattaforme.
Lo smartphone siamo noi…
Lo smartphone è un computer e come tale può essere hackerato. Tutti ormai abbiamo uno smartphone con i nostri dati personali: se hackerano lui, hackerano anche noi.
Per proteggere il proprio smartphone, innanzitutto va usato un PIN: è la prima linea di difesa contro gli hacker, specialmente se il cellulare viene rubato. Scontato dire che il PIN non deve essere 1234.
Poi va data attenzione alle App: bisogna scaricarle solo dagli store ufficiali.
La maggior parte delle app maligne, infatti, viene scaricata al di fuori dell’App Store di Apple o del Google Play Store: in questo modo possono eludere le severe misure di sicurezza anti malware imposte da Apple e Google.
Allo stesso modo bisogna tenere le app e il sistema operativo aggiornati: gli hacker approfittano delle app non aggiornate trovando debolezze nelle loro infrastrutture per ottenere l’accesso ai personali.
Se si pensa di connettersi a una rete Wi-Fi pubblica è importante usare una VPN (Virtual Private Network). Gli hacker possono connettersi a tutti i router Wi-Fi accessibili pubblicamente e tentare di ottenere l’accesso a qualsiasi dispositivo che utilizzi la stessa rete pubblica.
La VPN nasconde la connessione ai criminali informatici e protegge da un possibile attacco hacker.
Infine, non bisogna utilizzare il login automatico delle app, sebbene sia pratico: se un hacker riesce a ottenere l’accesso al cellulare e il login automatico è attivo potrà facilmente aprire tutte le app non protette e estrarre i nostri dati.
…e noi siamo i nostri dati
Infine va capito che noi siamo i nostri dati e i nostri dati sono noi: se qualcuno li sottrae commette un furto di identità e può presentarsi al prossimo al posto nostro, una situazione non piacevole soprattutto se ha un diretto impatto sui nostri risparmi.
E se commettiamo un errore? Ci sono alcune cose che si possono fare per rimediare.
Intanto vediamo le cose da fare in primis, ricordandoci che il supporto clienti di una banca non chiederà mai la password o il numero della carta di credito via email:
- assicurarsi che il software di sicurezza del computer sia aggiornato;
- installare un’estensione anti phishing sul browser;
- creare una password sicura e complessa e non usare mai la stessa password per diversi account;
- assicurarsi che lo smartphone abbia gli ultimi aggiornamenti installati;
- attivare l’autenticazione a due fattori per effettuare il login alle app con dati sensibili, tramite un codice inviato via SMS allo smartphone;
- non rendere pubblici dati sensibili;
- non fotografare e non diffondere codici presenti sulle proprie carte;
Se si è ricevuto un messaggio sospetto di smishing va inoltre ricordato che una banca non contatta mai i propri clienti tramite SMS, così come non chiede mai per telefono di fornire i dati di accesso al conto o i dettagli della carta.
I messaggi di testo che invitano a chiamare un numero sono sempre di natura fraudolenta.
Pertanto se viene chiesto di chiamare un numero, o di inviare un messaggio a un indirizzo email, bisogna cercare le informazioni di contatto e vedere se corrisponde a una azienda legittima.
Meglio comunque non fare nulla e mettersi subito in contatto con il supporto clienti della propria banca segnalando l’accaduto.
Cosa faccio se ho sbagliato?
Se si resta vittime, proprio malgrado, di una frode online, il primo passo è la segnalazione ai provider e alle autorità competenti.
Vediamo ad esempio cosa fare in caso di phishing.
Per prima cosa bisogna contattare direttamente il proprio provider dell’account email, ad esempio il Supporto Google se si usa Gmail.
Subito dopo è opportuno mettersi in contatto direttamente con l’azienda le cui informazioni sono state “clonate” dagli hacker per informarla dell’accaduto: gli attacchi sono esterni, ma si può chiedere supporto per capire quali possono essere i passi successivi da compiere.
Inoltre, se ci si accorge che i propri dati sensibili sono stati rubati, bisogna rivolgersi immediatamente alla Polizia Postale.
Ovviamente una parte attiva fondamentale nel combattere i crimini informatici è portata avanti anche dai player dei vari settori interessati.
In quello bancario, ad esempio, N26 si impegna costantemente per contrastare il cybercrimine, sviluppando nuove funzionalità finalizzate a proteggere i clienti e implementando tecnologia e team dedicati allo scopo di contrastare le frodi digitali sempre più rapidamente.
Anche la formazione è importante: ecco perché la banca digitale N26 investe continuamente in formazione ed educazione degli utenti sui rischi e sulle misure per proteggersi, anche attraverso contenuti interattivi.
In collaborazione con N26
© RIPRODUZIONE RISERVATA