A volte il punto di partenza potrebbe essere l'apertura di un banale allegato oppure un
semplice clic a un link. Dobbiamo sempre fare attenzione quando navighiamo in rete e
lasciamo i nostri dati personali, a volte basta una piccola distrazione per cadere
vittima di una frode. E' quindi molto importante conoscere le principali tecniche che i
malintenzionati usano per attaccare online.
Esistono varie pratiche illegali che differiscono l'una dall'altra nel modo in cui il
truffatore si mette in contatto con le vittime. Ma l'obiettivo è lo stesso: rubare
informazioni riservate (come dati bancari, numeri di carte di credito, il pin del tuo
telefono, la password per accedere alle email e i codici del tuo internet banking...)
per fini illeciti.
I malintenzionati contattano gli utenti tramite email
(phishing), SMS
(smishing), WhatsApp o addirittura telefonate (vishing)
.
Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono
di tecniche di "social engineering", ossia basate sullo studio e la
manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni
confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social
network si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle
nostre amicizie. Sono tecniche molto insidiose perché utilizzano l'inganno o sfruttano
l'ingenuità della vittima per indurla a fidarsi di chi la sta contattando.
Esistono per fortuna consigli pratici da applicare sin da subito per tutelarsi dalle
frodi online.
Il phishing (da «to fish», «pescare», perché la vittima viene «presa all'amo» dal
truffatore) è un messaggio ingannevole che arriva via e-mail, che mira a farci compiere
un'azione (esempio, cliccare su un link o scaricare una app) per rubarci l'identità o i
dati personali allo scopo di accedere ai nostri conti bancari, carta di credito o per
altre operazioni criminali.
Le tipiche azioni richieste dal phisher sono:
- cliccare su un link, che conduce a un modulo dove inserire i nostri dati bancari o personali
- installare a nostra insaputa un app malevola ("malware")
- rispondere direttamente coi nostri dati, password o codici di accesso
I phisher generalmente si spacciano per una banca o un'entità considerata affidabile
(posta, pubbliche amministrazioni…) o un'azienda molto nota, sfruttandone illecitamente
il loro brand, per indurre gli utenti a fidarsi, anche sfruttando dei dati sull'utente
che già si conoscono (data di nascita, indirizzo di residenza…) per spingerlo a
divulgare informazioni confidenziali.
Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali
sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle
aziende,
per inserire nuovi testi e il link di aggancio al sito
fraudolento.
E anche quest'ultimo segue perfettamente lo stile e la grafica
del sito originale. Non è difficile smascherare questi tentativi, basta
fare attenzione: vediamo allora quali elementi prendere in considerazione.
Se pensi di aver risposto ad un messaggio di phishing fornendo i tuoi dati bancari, contatta subito il Servizio Clienti
Lo smishing (dalla combinazione delle parole SMS e Phishing) è il tentativo da parte dei
truffatori di acquisire informazioni personali, finanziarie o di sicurezza tramite
SMS.
Se pensi che potresti aver risposto ad un testo smishing fornendo i tuoi dati bancari, contatta subito il Servizio Clienti
Il vishing (dalla combinazione delle parole Voice e Phishing) è una truffa telefonica in
cui i truffatori cercano di indurre la vittima a divulgare informazioni personali,
finanziarie o di sicurezza o a trasferire loro del denaro, spacciandosi per
rappresentanti di aziende o di utenze. Solitamente la truffa tramite vishing avviene
dopo aver dato seguito ad un SMS di smishing o una email di phishing.
Gli aggressori sfruttano la tecnologia della telefonia VoIP (Voice over IP), per
effettuare un gran numero di chiamate fraudolente, a basso costo o gratuite e per
nascondere la propria identità e numero di telefono, fingendo di chiamare da un numero
di telefono che non gli appartiene o che non è associato al suo indirizzo IP.
Il visher sfrutta tecniche di manipolazione emotiva e trucchi psicologici per convincere
le vittime a rivelare informazioni personali. L'aggressore fa solitamente leva
sull'urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare
risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia
con l'interlocutore rispetto ad una asettica e-mail. Ad esempio, credendo di parlare con
il tuo gestore di telefonia, sarai più propenso a fornire dati personali.
Ad abbassare il livello di difesa c'è la constatazione che il truffatore possiede già
molti dati personali della vittima. I truffatori possono trovare le tue informazioni di
base online (ad es. attraverso i social media). Non presumere dunque che chi chiama sia
autentico solo perchè possiede questi dati.
In molti casi, il visher indurrà la vittima a scaricare un 'applicazione, che una volta
installato permetterà all'aggressore di rubare altri dati personali (vedi malware).
Se pensi di aver ricevuto una finta chiamata dalla banca, contatta subito il Servizio Clienti
Approfondimenti