Come difendersi da phishing, ransomware e altre truffe online: i consigli degli esperti

Come difendersi da phishing, ransomware e altre truffe online: i consigli degli esperti

8 Marzo 2021 0 Di Luna Rossa

 

Proposte vantaggiose, soldi facili, grandi amori: essere raggirati è sempre più facile. Ma dietro questi crimini ci sono veri e propri gruppi organizzati. Gli esperti e gli errori da non fare

Giuseppe Guastella

L a maggior parte delle truffe, anche quelle informatiche, parte facendo abbassare la guardia alla vittima. La proposta di un affare vantaggiosissimo solletica la cupidigia di chi la riceve; una bella donna o un bell’uomo senza veli svegliano istinti primordiali che annebbiano la mente; il nome dell’importante dirigente che di persona manda una email per ordinare un forte pagamento solletica l’ego e impedisce di verificare se sia davvero lui a scrivere. Attenzione, però, «dietro a questi crimini spesso si nascondono gruppi organizzati», avverte il procuratore aggiunto di Milano Eugenio Fusco: «Ci vogliono strumenti legislativi più coerenti di fronte a una criminalità che è in grado di evolversi in tempi rapidissimi».

Avvertimenti preziosi

Ecco alcuni consigli degli esperti per difendersi. Bisogna sempre verificare se una richiesta importante, come quella di fare un grosso versamento, è vera. Per farlo, usare un sistema diverso da quello con cui è arrivata. Vuol dire che se ci arriva una email, si ricontatta il mittente con un sms, perché nella posta aziendale potrebbe nascondersi un truffatore; se ci chiamano al telefono, mandare una email per chiedere conferma; se la banca telefona per fare delle operazioni, dire che si richiamerà il loro servizio clienti.

Niente dati a presunte banche

Le banche, che investono tantissimi soldi sulla sicurezza informatica, invitano di continuo i clienti a non fornire a nessuno i propri dati, nemmeno al proprio istituto di credito, perché ce li ha già. «Facciamo costantemente campagne di sensibilizzazione su internet e tramite le nostre applicazioni», spiega Fabio Ugoste, responsabile della sicurezza informatica di IntesaSanpaolo. «Sul nostro sito abbiamo dedicato un’ampia sezione alla tutela dei nostri clienti». Quali sono le principali misure di sicurezza da osservare? «Controllare che l’indirizzo del mittente delle email sia corretto, gli errori di battitura sono indizi di un tentativo di frode. Non cliccare su link presenti nel testo e non aprire mai gli allegati. Nel dubbio, contattare subito il servizio clienti della banca».

Bloccare il conto e fare denuncia

Se si finisce truffati, come muoversi? «Ordinare alla banca con email, meglio se pec, di bloccare immediatamente il conto — avverte l’avvocato Marcello Pistilli, esperto in diritto bancario — e presentare una denuncia alle forze dell’ordine. Poi chiedere il rimborso alla banca, se si ritiene che abbia responsabilità. Se rigetta la richiesta, si può fare ricorso all’arbitrato bancario e finanziario o alla giustizia ordinaria». Quando invece si è vittima di una estorsione informatica, è meglio evitare di risolvere la questione da soli. Il consiglio degli esperti è di rivolgersi subito alle forze dell’ordine, a un avvocato e un informatico forense per raccogliere prove.

Truffa della finta banca, 5 consigli per evitare di essere raggirati online
  • Truffa della finta banca, 5 consigli per evitare di essere raggirati online
  • Truffa della finta banca, 5 consigli per evitare di essere raggirati online
I rischi

Il phishing

Il phishing, base di gran parte delle truffe online, comincia con una «esca». Nel caso delle truffe bancarie, di solito è un messaggio che apparentemente arriva dalla propria banca invitando a cliccare su un link che porta ad una homepage, del tutto identica a quella della banca stessa, dietro la quale ci sono i truffatori. L’utente digita codice cliente e password che vengono prelevati dai criminali che, con essi, entrano nel conto e lo prosciugano. È un sistema che è stato ostacolato dall’introduzione da parte delle banche dell’«autenticazione a due fattori» attraverso un codice otp generato dal cellulare del cliente, ma è sempre valido per carpire i dati degli utenti. Lo smishing è una forma evoluta di phishing. Invece della email, arriva un sms che sembra spedito dal servizio clienti o antifrode della banca: «Abbiamo rilevato tentativi di accesso anomali sul suo conto, per motivi di sicurezza clicchi il link…». Il link è una trappola che conduce alla solita falsa homepage. A questo punto i truffatori entrano nel conto, carpiscono i dati (tra cui il numero di telefono, se già non lo hanno preso dopo aver violato qualche banca dati) e chiamano il cliente dando il via al vishing («v» sta per «voice»). La chiamata sembra partire proprio dal numero del servizio clienti della banca, perché i truffatori usano servizi «voip» (la telefonia via internet) forniti da provider che si trovano in stati stranieri dove la magistratura italiana non può arrivare e permettono di usare come chiamante un qualsiasi numero. Si è convinti di parlare con la propria banca, invece dall’altro capo c’è un abile truffatore il quale, dicendo che deve bloccare immediatamente il tentativo di frode che era stato annunciato con l’sms, convince la vittima a generare con il cellulare i codici otp che lui usa per azzerare il conto.

Lo schema «the man in the middle»

Truffa molto sofisticata che generalmente prende di mira le aziende, «Man in the middle», può avere tre varianti.
Man in the mail: il criminale ottiene le credenziali di un dipendente con il phishing oppure hackerando un qualsiasi data base, a esempio della carta punti del supermercato. Dovendo gestire tanti account, molti tendono ad usare sempre la stessa password o sue varianti logiche oppure la data di nascita, che magari viene messa anche sui social. C’è anche il «trojan», il virus che si auto istalla sul pc e ruba i dati, ma si spera che le aziende si proteggano con un buon antivirus. Con le credenziali, il truffatore entra nella posta interna e «spia» ciò che accade. Quando l’azienda sta per eseguire un pagamento importante oppure sta per spedire merce di valore, entra in azione. Manda una mail che apparentemente proviene dal fornitore che deve essere pagato il quale chiede di ricevere il bonifico su un conto diverso dal solito. Se invece è un cliente in attesa di merce, chiede di riceverla ad un nuovo indirizzo. Quando ci si accorge della truffa è già tardi.
Man in the business: con il sistema precedente i truffatori inviano ad un dirigente aziendale una mail apparentemente mandata da un suo superiore che ordina un acquisto importante annunciando, ad esempio, la telefonata dell’avvocato del venditore il quale manderà i documenti per completare l’operazione. L’avvocato, ovviamente fasullo, chiama con un numero che (grazie al trucco del voip) risulta essere quello dello studio di un professionista esistente, ma totalmente estraneo. L’affare si chiude, pure la truffa.
Man in the browser: i criminali con i soliti sistemi inoculano nella rete aziendale un «trojan» che si attiva quando con il browser del pc si fa un bonifico. Il virus sostituisce l’iban del destinatario con quello del truffatore, che incassa i soldi.

Il ransomware e il ricatto sessuale

C’è sempre qualcuno che quando riceve un messaggio di posta (magari con il phishing) non riesce a trattenersi dall’ impulso di scaricare il file allegato. Lì dentro può esserci un ransomware, un tipo di virus pericolosissimo che da anni fa strage di pc in tutto il mondo e che si auto istalla senza che uno se ne accorga bloccando il pc o i server cui è collegato e chiedendo il pagamento di riscatto per farli ripartire. Solitamente è in bitcoin e il versamento avviene con un sistema che ne impedisce la tracciabilità. Si va da qualche centinaio di euro a centinaia di migliaia. Se non si paga, allo scadere dell’ultimatum la memoria del pc viene distrutta e i dati non si possono più recuperare. La minaccia può prendere la forma anche di estorsione sessuale. Ce ne sono di due tipi. La prima: arriva una mail che avverte il destinatario, solitamente un uomo che, grazie a un virus, è stato registrato dalla telecamera del suo pc mentre navigava in un sito porno. Chiedono soldi e, per dimostrare che la minaccia è seria, viene allegata una password che la vittima ha utilizzato da qualche parte (rubata con il phishing o hackerando un sito) e la lista degli amici che ha incautamente reso pubblica su un social, ai quali verrà mandata la registrazione compromettente se non si paga. Più complessa la seconda variante: una bellissima ragazza o un bellissimo ragazzo contattano la vittima su un social allacciando una conversazione che pian piano evolve in qualcosa di più intimo. La bella o il bello si spogliano, compiono atti sessuali in diretta ottenendo che anche la vittima faccia altrettanto davanti al pc. A questo punto i criminali hanno registrato tutto. Seguono le solite minacce e richieste per cancellare il video, che c’è davvero. Come in tante estorsioni, non è detto che tutto termini con un pagamento.

Sorgente: Come difendersi da phishing, ransomware e altre truffe online: i consigli degli esperti

Spread the love
  •  
  •  
  •   
  •   
  •   
  •  
  •