Il fenomeno delle truffe online è un fenomeno in crescita e che evolve nel tempo: i cyber criminali utilizzano tecniche sempre più sofisticate per rubare i dati personali dei consumatori, che sono indispensabili per compiere le frodi. Diventa quindi sempre più importante imparare a riconoscerle.
Si tratta di pratiche illegali con le quali i cyber criminali si mettono in contatto con le potenziali vittime con l’obiettivo di sottrarne delle informazioni riservate, come codici di accesso (pin del telefono, credenziali email o codici di accesso al proprio home banking), dati bancari, numeri di carte di credito… per utilizzarli per fini illeciti.
Esiste una macro classificazione delle frodi online in tre principali tipologie, a seconda dell’identità assunta dal truffatore:Una prima tipologia in cui il criminale instaura un rapporto diretto con la vittima, come avviene ad esempio nella truffa dell’acquisto o nella truffa romantica. Nel primo caso ad esempio la vittima si troverà ad acquistare un prodotto o un oggetto che non riceverà mai. Nel caso delle truffe romantiche, i truffatori creano profili falsi su siti o app di incontri legittimi o social network, utilizzando immagini e identità spesso rubate ad altre persone. Sfruttano questi profili per entrare in contatto con la vittima di turno e instaurare una relazione che può durare anche mesi o anni, ma il fine ultimo è di chiedere soldi accampando scuse di vario tipo: un problema economico, familiare, una malattia, o per fare un viaggio con la vittima.
Una seconda tipologia è quella in cui la vittima conosce solo per nome o fama l’organizzazione o la persona dietro cui si cela il cyber criminale, non ne ha quindi una conoscenza diretta. Come si svolge questo tipo di frode: la vittima riceve una mail in cui gli viene richiesta una donazione (fraudolenta). Un esempio molto noto è quello del principe nigeriano, truffa che ha preso il nome di truffa nigeriana e che anni fa era solita circolare tramite posta cartacea, e nella quale si chiedeva aiuto per mettere in salvo un’eredità contesa. Un altro esempio è la mail che notifica una vincita di denaro ad una lotteria, e che richiederà, dopo il primo contatto, il versamento di una certa cifra per ricevere il denaro.
Nella terza tipologia di frode, l’identità fittizia dichiarata dal truffatore – ad esempio la propria banca o carta di credito - è determinante per creare il giusto contesto per perpetrare la truffa, perché la vittima ha un rapporto di fiducia con il presunto mittente. Ci fidiamo della nostra banca e delle comunicazioni che ci manda, relative al nostro conto corrente o alla nostra carta di credito. Questo tipo di frode richiede prima l’acquisizione di informazioni da parte dei cyber criminali, che utilizzano mezzi diversi per ottenerle. Ad esempio tramite accessi illeciti a banche dati, phishing (invitando cioè la vittima a fornire credenziali di accesso ad aree riservate), vishing (voice phishing, tramite chiamata telefonica) o smishing (phishing tramite sms).
Il termine "phishing" è stato coniato a metà degli anni '90, quando gli hacker hanno iniziato a utilizzare e-mail fraudolente per "pescare" informazioni dagli utenti della rete. Dal momento che questi primi hacker venivano chiamati "phreaks," il termine è diventato noto come "phishing," e non “fishing” (“pescare” in inglese).
La storia del phishing inizia infatti in quegli anni, ad opera di un gruppo di hacker che inviava messaggi (email o tramite messaggeria istantanea) fingendosi dipendenti AOL - un popolare Internet provider americano - per ottenere le credenziali di accesso dagli utenti e utilizzare i loro account.
A partire dagli anni 2000, gli hacker hanno iniziato a utilizzare il phishing per ottenere i dati di conto corrente, e successivamente l’interesse si è esteso ad altre categorie di siti, come gli ecommerce.
Di cosa si tratta
Il phishing è forse il tipo di frode informatica più diffuso, in cui attori malintenzionati inviano email in massa fingendosi persone o entità di cui il destinatario si fida (una banca, un’associazione). Tramite il phishing, il cyber criminale intende infatti manipolare l’utente, in modo che questi esegua azioni come installare un programma, cliccare su un link malevolo, o compilare un form con le proprie informazioni personali, credenziali di accesso o dati bancari.
La tecnica utilizzata si chiama Social Engineering (ingegneria sociale), espressione utilizzata per descrivere i tentativi di manipolare o ingannare gli utenti.
Il veicolo come dicevamo è solitamente un messaggio email o sui social media. Spesso questi messaggi possono essere identificati grazie a errori di ortografia, un uso improprio di loghi o di layout, tuttavia molti criminali informatici stanno diventando sempre più sofisticati nel creare messaggi dall'aspetto autentico e utilizzano tecniche di marketing professionali per testare e migliorare l'efficacia delle loro e-mail.
La parola spoofing deriva dal verbo inglese “spoof”, che significa parodiare. Nell’ambito delle truffe online indica l’impersonificazione di qualcun altro da parte di un cybercriminale allo scopo di rubare dati personali o entrare in un sistema informatico.
Esistono diverse tipologie di spoofing, vediamo qui di seguito le principali:
Spoofing via e-mail: è la tecnica più diffusa e consiste nell’invio massivo, a migliaia di indirizzi email, di un messaggio firmato, ad esempio, dalle Poste, da una banca o da un servizio di pagamenti online, in cui si notifica il blocco del proprio conto o della propria carta e la richiesta di cliccare su un link per procedere allo sblocco. Il link rimanderà ad un sito malevolo, magari quasi identico al sito ufficiale, in cui viene richiesto di inserire i propri dati personali o finanziari.
Spoofing via SMS: è la stessa tecnica dello spoofing via email ma al posto dei messaggi email vengono inviati SMS.
Spoofing via sito web: in questo caso, i cyber criminali creano una copia, un fake, quanto più simile ad un sito comunemente utilizzato e ritenuto affidabile dagli utenti, come il sito di una banca o di un e-commerce. Anche in questo caso l’obiettivo è ottenere dati da parte del malcapitato utente tramite la compilazione di un modulo.
IP Spoofing: questo tipo di spoofing è alquanto tecnico, e l’obiettivo non è di frodare una persona, ma un computer, facendogli credere che determinate richieste (ad esempio la ricezione di un pacchetto di dati contenente un malware) provengano da una fonte con un IP considerato affidabile.
DNS Spoofing: è un attacco informatico che ha come oggetto il server DNS. In questo caso, la conseguenza per l’utente è che l'URL digitato sul browser non aprirà il sito web autentico, ma uno fittizio e truffaldino.
Per riconoscere una truffa online, il suggerimento migliore è non rispondere o cliccare su link in fretta o d’impulso, ma di prendersi del tempo per leggere con attenzione il messaggio, o porsi una serie di domande se si tratta di una telefonata. Le frodi e le truffe online spesso sfruttano il Fattore U (il Fattore Umano), tramite messaggi o email convincenti, per ottenere i dati dall’utente stesso.
Ecco alcuni esempi di comportamento da tenere.
Presta grandissima attenzione alle e-mail che ti propongono un premio, specialmente se cercano di metterti fretta.
Controlla l’indirizzo e-mail da cui proviene il messaggio. Lo conosci? È l’indirizzo ufficiale di un’azienda, una banca o un ente con cui hai un qualche rapporto (ad esempio un’e-commerce da cui hai l’abitudine di acquistare)? Oppure sembra ufficiale ma non lo è? Ad esempio servizio-clienti@amazin.it.
Verifica se l’oggetto dell’e-mail e il contenuto sono coerenti tra loro.
Controlla se la mail è scritta in modo corretto: se ci sono errori di grammatica o la lingua sembra artefatta come se fosse stato utilizzato un traduttore automatico, o se ci sono errori di grammatica o di ortografia, o simboli strani.
Se il messaggio sospetto all’apparenza proviene dalla tua banca, dal tuo provider di telefonia, da un’e-commerce o un corriere, verifica sempre l’autenticità dell’e-mail che hai ricevuto contattando il mittente tramite i suoi canali ufficiali, ad esempio telefonando alla tua filiale o al servizio clienti.
Il reato di truffa non è un reato punibile d’ufficio, e affinché venga avviato il procedimento penale, è necessario che la vittima presenti denuncia presso la polizia postale o una qualsiasi Procura della Repubblica o presso le forze dell’Ordine, entro 90 giorni dall’accaduto.
La pena prevista per il truffatore: se sono presenti aggravanti, la pena prevede la reclusione da 1 a 5 anni e il pagamento di una multa. Per il reato di truffa senza aggravanti invece, è prevista la reclusione da 6 mesi a 3 anni e il pagamento di una multa.
Il modo migliore per evitare di essere vittima di truffa è imparare a conoscerle e adottare comportamenti più consapevoli. Ad esempio:
Non rispondere mai a e-mail e SMS che avvisano del blocco della propria carta o del proprio conto corrente e che richiedono i tuoi dati personali o le tue credenziali di accesso. La tua banca non ti chiederà mai via email le tue credenziali di accesso al servizio home-banking, gli estremi delle tue carte di credito o altre informazioni personali. Se hai un dubbio, contatta direttamente il tuo istituto di credito.
Quando visiti un sito di acquisti, controlla sempre l’URL: se stai effettuando un acquisto, prima di inserire i dati della carta di credito, controlla sempre che il sito sia attendibile e sicuro e che l’URL sia corretta. Verifica sempre gli strumenti di sicurezza del sito: prima di fornire gli estremi della tua carta, assicurati che la pagina su cui stai effettuando la registrazione o il pagamento sia contrassegnata dalla presenza di un lucchetto, caratterizzata dall’estensione “https” anziché “http”, visualizzabile nella barra degli indirizzi del browser di navigazione. Questi elementi contribuiscono a verificare la presenza di un canale sicuro per poter comunicare in sicurezza i tuoi dati, compresi quelli della tua carta di pagamento.
La miglior difesa è avere comportamenti consapevoli, ma ci sono anche altri accorgimenti, ad esempio:
- imposta password diverse per i vari servizi che utilizzi (ad esempio, non utilizzare la stessa password per social e email);
- Scegli “password phrase”, vale a dire brevi frasi alfanumeriche;
- Non inserire dettagli personali o lavorativi;
- Modifica regolarmente tue password di accesso o utilizza un password manager (software per creare e gestire in modo sicuro le tue credenziali di accesso).
Proteggi i tuoi dispositivi, utilizzando blocchi di accesso quali pin, password, touch o face ID per impedire vengano utilizzati da altri senza il tuo consenso.
Fai attenzione a messaggi, email, e telefonate sospette: diffida da qualsiasi tentativo di contatto che ti chieda informazioni personali o finanziarie. Ad esempio una email in cui ti vengono chiesti dati personali, username e password del tuo account di home-bankingo di collegarti al sito della banca per delle verifiche tecniche, non rispondere e non cliccare su link presenti nel messaggio, anche se il mittente sembra essere davvero un istituto bancario o un ente. Ricordati che la tua banca non ti chiederà mai via email le tue credenziali di accesso al servizio home-banking, gli estremi delle tue carte di credito o altre informazioni personali. Nel caso, fai sempre una verifica con il tuo istituto di credito.
Tieni sempre aggiornato l’antivirus del tuo computer e del tuo smartphone, ed esegui una scansione antivirus e anti malware se pensi di aver aperto un file infetto.
Esegui regolarmente un backup completo, per evitare la perdita di dati.
Affidati a servizi di monitoraggio dei dati, che controllano la circolazione dei tuoi dati sul dark web e sull’open web e che ti avvisano in caso siano intercettati in ambienti web poco sicuri.
Controlla regolarmente il tuo estratto conto e i movimenti sul tuo conto corrente con l’home banking: potrai così segnalare subito alla tua banca eventuali transazioni che non riconosci.
Se ti sono stati rubati i dati bancari, blocca i servizi coinvolti nella truffa (bancomat, carta di credito, ecc.).
Se ti sono stati sottratti i dati bancari, oltre a sporgere denuncia è bene rivolgerti al tuo istituto di credito per bloccare il conto corrente e/o il bancomat e/o la tua carta di credito.
Per la denuncia, come spieghiamo subito sotto, potrai rivolgerti alla Polizia Postale, anche andando sul sito.
Per denunciare una truffa o una frode online ci si può rivolgere a qualsiasi forza dell’ordine, ad esempio andando ad una stazione di Polizia o in Questura. Oppure si può sporgere denuncia anche online, alla Polizia Postale, fornendo le seguenti informazioni: i dati anagrafici della vittima, gli estremi del documento d’identità, una descrizione quanto più dettagliata dell’accaduto e della tipologia di truffa, il sito o i siti coinvolti.
Sul sito della Polizia Postale è disponibile il modulo per denunciare un crimine informatico, che, una volta compilato, genererà una ricevuta telematica e un numero di protocollo con cui presentarsi ad un ufficio della polizia postale per completare la denuncia e darvi valore legale.
I nostri dati sono importanti, presta sempre attenzione ai messaggi che ricevi. Per una maggiore sicurezza puoi affidarti a SICURNET, il servizio che monitora la diffusione dei tuoi dati anche nei luoghi più pericolosi della rete, e ti avvisa se sono a rischio.
Nel frattempo, mettiti alla prova e gioca a CyberNinja, il gioco educational di CRIF per imparare a riconoscere le truffe e diventare cintura nera nello scovare i tentativi di phishing!
I contenuti di questo articolo sono diretti esclusivamente a fornire informazioni di carattere generale; Mister Credit non garantisce l’assenza di errori ed omissioni, anche derivanti da eventuali modifiche legislative.
Cerca
Fai la tua ricerca sul sito