Frodi online: come riconoscerle e difendersi da phishing, vishing e smishing

Phishing, Vishing, Smishing: sono i termini per identificare e-mail, SMS o telefonate apparentemente innocue, ma che possono diventare esche per spingere le persone a compiere azioni con conseguenze dannose, come fornire i propri dati sensibili quali password, numeri di conto o altri dati personali.

N26, la banca 100% digitale, li spiega in questo vademecum per dimostrare come è possibile riconoscere e prevenire le frodi anche in un mondo sempre più digitalizzato, e fornisce semplici trucchi per proteggersi adeguatamente e navigare in sicurezza.

Phishing

Tra i più semplici ed efficaci strumenti utilizzati dagli hacker, si presenta sotto forma di un'email che sembra provenire dalla propria banca nella quale viene chiesto di aggiornare i propri dettagli, accedendo ad un link. Il link reindirizza l’utente a una copia apparentemente autentica del sito web originale, inclusi banner e marchi ufficiali.

Come riconoscere una email di phishing? Gli hacker sono sempre più sofisticati nell’approccio, ma riconoscere un sito o un’e-mail di phishing è in realtà molto semplice: le aperture sono apparentemente generiche (“Gentile signore” o “Signora”), senza nessun riferimento al nome e cognome del destinatario; l’e-mail proviene spesso da un'azienda con la quale non si ha mai avuto a che fare; importante anche verificare che l’indirizzo del sito web contenuto nel link corrisponda a quello della propria banca e, in caso di dubbi, aprire una nuova finestra e visitare direttamente il sito web.

Tra le diverse, il phishing è una tattica facilmente aggirabile, semplicemente non aprendo il link.

Smishing

Con “smishing” si intendono gli attacchi phishing sotto forma di messaggi SMS, spesso misteriosi, che esortano chi li riceve ad effettuare un bonifico per pagare una bolletta o una fattura non saldata, o ad aiutare un amico in difficoltà. I truffatori potrebbero anche cercare di impossessarsi di dati personali come coordinate bancarie, numeri di carta di credito, indirizzi e-mail e altro. Il loro scopo, in genere, è sottrarre denaro alla vittima, ma potrebbero anche cercare di rubarne l’identità. Anche in questo caso, la risposta migliore è ... non rispondere.

Vishing

Il vishing, o voice phishing, è un attacco di phishing che avviene telefonicamente. In questo caso i criminali informatici si spacciano per persone di cui la gente tende a fidarsi, come il dipendente di una banca, un funzionario dell’Agenzia delle Entrate o un agente assicurativo.

Ecco alcune tecniche di approccio particolarmente diffuse:

Conto corrente compromesso —i truffatori chiamano per comunicare che il conto è stato compromesso e rischia di subire un attacco informatico, cercano quindi di convincere la vittima a trasferire il denaro a un conto "più sicuro".
Un’offerta imperdibile — i truffatori si presentano al telefono con offerte di prestiti, premi o una imperdibile occasione di investimento.
Truffe a sfondo fiscale — i truffatori si fingono funzionari dell’Agenzia delle Entrate o addetti al recupero crediti e spaventano le vittime parlando di imposte non pagate, minacciando pesanti sanzioni.
Truffe a sfondo previdenziale — I criminali informatici fingono di chiamare a nome di un ente previdenziale o assistenziale nella speranza di mettere le mani su sussidi o pensioni, o di appropriarsi di denaro contante. In questo caso, le persone anziane sono un bersaglio frequente per queste truffe, poiché spesso vivono da sole o sono poco informate.

Social engineering

Vere e proprie tecniche di manipolazione, che sfruttano aspetti della psicologia umana per "ingegnerizzare" il processo decisionale e fare pressione sulle vittime affinché forniscano liberamente le loro informazioni, senza rendersi conto del pericolo. I social engineer adescano le vittime creando in loro una falsa sensazione di sicurezza, fingendo per esempio di essere un membro delle autorità, come un poliziotto o un funzionario del governo.

L’approccio adottato è spesso forzato e talvolta minaccioso perché ritenuto molto efficace e ha queste declinazioni:

Pretexting -  la creazione di un pretesto adatto ad attirare le potenziali vittime in una situazione di vulnerabilità per estorcere informazioni personali sensibili. Un esempio è la creazione di un’impressione di urgenza, che costringe le vittime a soddisfare le loro richieste entro un certo lasso di tempo.
La cosa più importante da ricordare: mettere in discussione l'identità di individui che affermano di rappresentare organizzazioni di qualsiasi tipo.

Baiting - la falsa promessa di un'offerta irresistibile. Spesso si presenta sotto forma di pubblicità allettante o di offerte "troppo belle per essere vere”, come un link per scaricare gratuitamente l'ultimo film di Hollywood, oppure un pop-up luminoso e lampeggiante che ti annuncia di aver vinto un premio in denaro.

Quid pro quo -  la promessa di uno scambio sotto forma di prestazione di servizi oppure di beni materiali. Un approccio comune è quello di essere contattati da qualcuno che sembra provenire da un reparto di supporto tecnico, sostenendo che gli è stato chiesto di risolvere un problema.

Violazione e-mail e contatto spam (Spear Phishing) - Quale modo migliore di sfruttare l'interazione sociale se non inviando messaggi che sembrano provenire da un amico intimo? I truffatori hackerano gli account di posta elettronica per poi inviare messaggi di spam alla lista dei contatti dell’utente, solitamente con un oggetto accattivante o con collegamenti a popolari piattaforme di social media ma contenenti in realtà link a siti web fraudolenti.

Come difendendersi dai tentativi di estorsione online e come prevenirli

Fortunatamente, anche se le tecniche utilizzate dai truffatori online variano, le contromisure da seguire per evitare di diventarne vittima sono per lo più le stesse e molto semplici.

Essere vigili è fondamentale, così come lo è trattare con sospetto qualsiasi forma di contatto da parte di mittenti sconosciuti.

Altri modi per proteggersi sono:

Non condividere né confermare mai i dati personali;
Non rispondere a e-mail, SMS o messaggi sui social media che chiedono dati personali o propongono link sospetti telefono;
Prestare attenzione ogni volta che viene richiesto l’inserimento di dati sensibili;
Mettere sempre in dubbio la fonte di e-mail che chiedono qualcosa; particolare attenzione ai dettagli del mittente e a eventuali URL;
Non lasciarsi ingannare dalla richiesta urgente e non sentirsi in dovere di agire immediatamente;
Se un'offerta (online o offline che sia) sembra troppo bella per essere vera, probabilmente non è reale;
Controllare sempre due volte i link inviati via e-mail e, in caso di dubbio, visitare direttamente il sito in questione attraverso il proprio browser, senza cliccare sul link contenuto nell'e-mail;
Non scaricare file, non condividere informazioni personali e non aprire i link di mittenti sconosciuti.

Come trasferire tutti i tuoi dati su un nuovo cellulare