Truffe informatiche in crescita: difendiamoci
L’obiettivo è lo stesso: rubare informazioni riservate (come dati bancari, numeri di carte di credito, il pin del telefono, la password per accedere alle email e i codici del tuo internet banking…) per fini illeciti. I malintenzionati contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o addirittura telefonate (vishing).
Ecco i consigli pratici forniti da l Gruppo bancario Intesa Sanpaolo da applicare sin da subito per tutelarsi dalle frodi online:
Phishing
Il phishing (da «to fish», «pescare», perché la vittima viene «presa all’amo») è un messaggio ingannevole che arriva via e-mail, che mira a rubarci l’identità o i dati personali allo scopo di accedere ai nostri conti bancari, carta di credito o per altre operazioni criminali.
Le tipiche azioni richieste dal phisher sono:
- cliccare su un link, che conduce a un modulo dove inserire i nostri dati bancari o personali
- installare a nostra insaputa una app malevola (“malware”)
- rispondere direttamente coi nostri dati, password o codici di accesso
I phisher generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) e le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.
Come riconoscerlo?
- Indirizzo del mittente:Il messaggio di solito sembra provenire da un’organizzazione conosciuta. Può essere simile all’indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com
- Oggetto sospetto: spesso è strutturato come risposta a un messaggio (“RE:”) che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese
- Errori di grammatica, traduzione o formattazione nel testo o nel nome dell’azienda oppure il logo riprodotto male sono dettagli che devono insospettirti:
- Esca allettante: ad esempio vincite a presunti concorsi,
- Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena disattivazione dell’account
- Invito all’azione (“Verifica subito”, “Vai al sito” ecc.) per esempio, viene richiesto di collegarsi al sito per sbloccare il conto o regolarizzare la propria situazione bancaria o compilare un form
- Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate
- Link fasulli: si noteranno strani codici numerici o altri URL che non hanno nulla a che vedere con il sito che viene richiesto di visitare. Attenzione agli indirizzi web accorciati tramite servizi come TinyURL o Google url shortener.
- Posta indesiderata: I messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.
Come evitarlo?
- Controllare sempre la provenienza delle comunicazioni ricevute e verificare l’attendibilità del mittente
- Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc.) non rispondere e cestinare il messaggio
- Non cliccare sul link e non scaricare l’allegato e le immagini che contengono, se il mittente è sconosciuto. Se conosciuto, prima di aprirli, è sempre meglio verificare con il mittente
- Attenzione ai dettagli e controllare bene il testo e gli errori di grammatica
- Il phisher maschera molto bene il proprio indirizzo web. Per controllare i link, basta passare sopra (senza cliccare) il puntatore del mouse per visualizzare la url di destinazione.
- Se scaricate i messaggi di posta sul computer (tramite programmi come Microsoft Outlook) assicuratevi che la cartella di posta indesiderata sia attiva
- Provate a rispondere alla e-mail sospetta (Reply): se si riceve un errore di invio o ricezione perché l’indirizzo del destinatario è inesistente può trattarsi di una truffa
Il vishing (dalla combinazione delle parole Voice e Phishing) è una truffa telefonica in cui i truffatori cercano di indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire loro del denaro. Solitamente, la truffa tramite vishing avviene dopo aver dato seguito ad un SMS di smishing o una email di phishing.
Il visher sfrutta tecniche di manipolazione emotiva e trucchi psicologici per convincere le vittime a rivelare informazioni personali. L’aggressore fa solitamente leva sull’urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia con l’interlocutore rispetto ad una asettica e-mail. Ad esempio, credendo di parlare con il tuo gestore di telefonia, sarai più propenso a fornire dati personali.
Ad abbassare il livello di difesa c’è la constatazione che il truffatore possiede già molti dati personali della vittima. I truffatori possono trovare le tue informazioni di base online (ad es. attraverso i social media).
In molti casi, il visher indurrà la vittima a scaricare un ’applicazione, che una volta installato permetterà all’aggressore di rubare altri dati personali (vedi malware).
Lo smishing (dalla combinazione delle parole SMS e Phishing) è il tentativo da parte dei truffatori di acquisire informazioni personali, finanziarie o di sicurezza tramite SMS.
Come riconoscerlo?
- Numero di provenienza: in genere il messaggio arriva da un numero di telefono che non abbiamo salvato in rubrica.
- Contenuto sospetto: l’SMS chiede di collegarsi ad un link
- Richiesta dati personali: una volta sul sito, vengono richieste delle credenziali di accesso (nomi utente, e-mail, password, numeri di carte di credito)
- Numero di telefono: l’SMS chiede di chiamare un numero di telefono per “verificare”, “aggiornare” o “riattivare” il tuo account
- Download app: In molti casi, viene chiesto di scaricare un’applicazione sul telefono tramite un link (che in genere rimanda su uno store non autorizzato)
Come evitarlo?
- Farsi lasciare un numero di telefono fisso rintracciabile e verifica l’identità del tuo interlocutore
- Non cliccare su link, allegati o immagini ricevute via SMS indesiderati
- Non rispondere mai ad un SMS che richiede il tuo pin o la password del conto corrente online o qualsiasi altra credenziale di sicurezza
- Eliminare i messaggi SMS sospetti contenenti dei link