Frodi online: phishing,
vishing e smishing

Le principali tecniche che i malintenzionati usano per rubare informazioni riservate e personali

A volte il punto di partenza potrebbe essere l'apertura di un banale allegato oppure un semplice clic a un link. Dobbiamo sempre fare attenzione quando navighiamo in rete e lasciamo i nostri dati personali, a volte basta una piccola distrazione per cadere vittima di una frode. E' quindi molto importante conoscere le principali tecniche che i malintenzionati usano per attaccare online.

Esistono varie pratiche illegali che differiscono l'una dall'altra nel modo in cui il truffatore si mette in contatto con le vittime. Ma l'obiettivo è lo stesso: rubare informazioni riservate (come dati bancari, numeri di carte di credito, il pin del tuo telefono, la password per accedere alle email e i codici del tuo internet banking...) per fini illeciti.

I malintenzionati contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o addirittura telefonate (vishing) .

Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di "social engineering", ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social network si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle nostre amicizie. Sono tecniche molto insidiose perché utilizzano l'inganno o sfruttano l'ingenuità della vittima per indurla a fidarsi di chi la sta contattando.

Esistono per fortuna consigli pratici da applicare sin da subito per tutelarsi dalle frodi online.

 

Il phishing (da «to fish», «pescare», perché la vittima viene «presa all'amo» dal truffatore) è un messaggio ingannevole che arriva via e-mail, che mira a farci compiere un'azione (esempio, cliccare su un link o scaricare una app) per rubarci l'identità o i dati personali allo scopo di accedere ai nostri conti bancari, carta di credito o per altre operazioni criminali.

Le tipiche azioni richieste dal phisher sono:

  • cliccare su un link, che conduce a un modulo dove inserire i nostri dati bancari o personali
  • installare a nostra insaputa un app malevola ("malware")
  • rispondere direttamente coi nostri dati, password o codici di accesso

I phisher generalmente si spacciano per una banca o un'entità considerata affidabile (posta, pubbliche amministrazioni…) o un'azienda molto nota, sfruttandone illecitamente il loro brand, per indurre gli utenti a fidarsi, anche sfruttando dei dati sull'utente che già si conoscono (data di nascita, indirizzo di residenza…) per spingerlo a divulgare informazioni confidenziali.

Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle aziende, per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest'ultimo segue perfettamente lo stile e la grafica del sito originale. Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.

 

Come riconoscerlo?

  • Indirizzo del mittente: Il messaggio di solito sembra provenire da una banca o da un'organizzazione conosciuta. Può essere simile all'indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com
  • Oggetto sospetto: spesso è strutturato come risposta a un messaggio ("RE:") che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese
  • Errori di grammatica, traduzione o formattazione nel testo o nel nome dell'azienda oppure il logo riprodotto male sono dettagli che devono insospettirti: quasi sempre si tratta di phishing
  • Esca allettante: ad esempio vincite a presunti concorsi, offerte di lavoro, regali o premi, di solito sono finte; se parlano di vincite di denaro vanno sempre ignorate
  • Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena disattivazione dell'account
  • Invito all'azione ( "Verifica subito", "Vai al sito" ecc.): per esempio, viene richiesto di collegarsi al sito per sbloccare il conto o regolarizzare la propria situazione bancaria o compilare un form
  • Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate
  • Link fasulli: in caso di phishing noterai strani codici numerici o altri URL che non hanno nulla a che vedere con il sito che ti viene richiesto di visitare. Attenzione agli indirizzi web accorciati tramite servizi come TinyURL o Google url shortener.
  • Posta indesiderata: I messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.
Come evitarlo?

  • Controlla sempre la provenienza delle comunicazioni che ricevi e verifica l'attendibilità del mittente
  • Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc) non rispondere e cestina il messaggio
  • Non cliccare sul link e non scaricare l'allegato e le immagini che contengono se il mittente è sconosciuto; Se conosciuto, prima di aprirli, è sempre meglio verificare con il mittente
  • Fai attenzione ai dettagli e controlla bene il testo e gli errori di grammatica
  • Il phisher maschera molto bene il proprio indirizzo web.Per controllare i link, basta passare sopra (senza cliccare) il puntatore del mouse per visualizzare la url di destinazione.
  • Se scarichi i messaggi di posta sul computer ( tramite programmi come Microsoft Outlook) assicurati che la cartella di posta indesiderata sia attiva
  • Prova a rispondere alla e-mail sospetta (Reply): se ricevi un errore di invio o ricezione perché l'indirizzo del destinatario è inesistente può trattarsi di una truffa

Se pensi di aver risposto ad un messaggio di phishing fornendo i tuoi dati bancari, contatta subito il Servizio Clienti

Lo smishing (dalla combinazione delle parole SMS e Phishing) è il tentativo da parte dei truffatori di acquisire informazioni personali, finanziarie o di sicurezza tramite SMS.

 

Come riconoscerlo?

  • Numero di provenienza: il messaggio arriva da un numero di telefono che non abbiamo salvato in rubrica. Ma é anche possibile che l'SMS si posizioni all'interno della cronologia autentica della banca. Questo fenomeno è definito Swap Alias
  • Contenuto sospetto: l'SMS ti chiede di collegarti ad un link
  • Richiesta dati personali: una volta sul sito, ti vengono richieste delle credenziali di accesso (nomi utente, e-mail, password, numeri di carte di credito)
  • Numero di telefono: l'SMS ti chiede di chiamare un numero di telefono per "verificare", "aggiornare" o "riattivare" il tuo account
  • Download app: In molti casi, ti viene chiesto di scaricare un'applicazione sul telefono tramite un link (che in genere rimanda su uno store non autorizzato).
Come evitarlo?

  • Fatti lasciare un numero di telefono fisso rintracciabile e verifica l'identità del tuo interlocutore
  • Non cliccare su link, allegati o immagini che ricevi via SMS indesiderati
  • Non rispondere mai ad un SMS che richiede il tuo pin o la password del tuo conto online o qualsiasi altra credenziale di sicurezza
  • Elimina i messaggi SMS sospetti contenenti dei link
  • Scarica applicazioni solo da App Store o da Google Play , mai direttamente da un messaggio WhatsApp o SMS
  • Attiva sul tuo smartphone la funzione di "blocco testi provenienti da web"
  • Fai attenzione al testo e controlla gli errori di grammatica

Se pensi che potresti aver risposto ad un testo smishing fornendo i tuoi dati bancari, contatta subito il Servizio Clienti

Il vishing (dalla combinazione delle parole Voice e Phishing) è una truffa telefonica in cui i truffatori cercano di indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire loro del denaro, spacciandosi per rappresentanti di aziende o di utenze. Solitamente la truffa tramite vishing avviene dopo aver dato seguito ad un SMS di smishing o una email di phishing.

Gli aggressori sfruttano la tecnologia della telefonia VoIP (Voice over IP), per effettuare un gran numero di chiamate fraudolente, a basso costo o gratuite e per nascondere la propria identità e numero di telefono, fingendo di chiamare da un numero di telefono che non gli appartiene o che non è associato al suo indirizzo IP.

Il visher sfrutta tecniche di manipolazione emotiva e trucchi psicologici per convincere le vittime a rivelare informazioni personali. L'aggressore fa solitamente leva sull'urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia con l'interlocutore rispetto ad una asettica e-mail. Ad esempio, credendo di parlare con il tuo gestore di telefonia, sarai più propenso a fornire dati personali.

Ad abbassare il livello di difesa c'è la constatazione che il truffatore possiede già molti dati personali della vittima. I truffatori possono trovare le tue informazioni di base online (ad es. attraverso i social media). Non presumere dunque che chi chiama sia autentico solo perchè possiede questi dati.

In molti casi, il visher indurrà la vittima a scaricare un 'applicazione, che una volta installato permetterà all'aggressore di rubare altri dati personali (vedi malware).

 

Come riconoscerlo?

  • Il numero di telefono è sconosciuto oppure sembra un numero autentico (questo è possibile tramite il fenomeno dello spoofing)
  • Chi chiama dice di appartenere ad un call center di un istituto di credito, di una società di software o di telecomunicazioni
  • L'interlocutore che vi ha telefonato vi chiede di fornire i dati del conto o altre informazioni personali oppure di scaricare un'app sul telefono
Come evitarlo?

  • Fai attenzione alle chiamate telefoniche indesiderate
  • Segnati il numero del chiamante e avvisalo che lo richiamerai
  • Per verificare l'identità, contatta direttamente la banca o l'organizzazione
  • Fai sempre riferimento ai numeri di telefono riportati sul sito web ufficiale dell'azienda
  • Non dare credito al truffatore utilizzando il numero di telefono che ti ha fornito (potrebbe trattarsi di un numero falso o contraffatto)
  • Se hai dubbi, interrompi la conversazione e contatta direttamente il servizio clienti dell'azienda per assicurarti che si tratta di una procedura regolare

Se pensi di aver ricevuto una finta chiamata dalla banca, contatta subito il Servizio Clienti

 

Approfondimenti

Phishing, come funziona
Smshing, come funziona
Vishing,
come funziona
Guarda il video
TORNA ALLA PAGINA SICUREZZA DIGITALE