Frodi online: fai attenzione a chi si finge qualcun altro

Le frodi online, con il passare del tempo, sono diventate sempre più sofisticate e complesse, quindi sempre più difficili da riconoscere.

Le regole base sono due:

1. quando ricevi da un mittente sconosciuto messaggi o chiamate che mirano a farti compiere un’azione, facendo leva sul senso di urgenza, è necessario non agire impulsivamente e non compiere alcuna azione o operazione
2. ma se la chiamata arriva da un numero riconducibile alla banca o alle autorità, puoi sempre fidarti? La risposta è no. Molte frodi oggi avvengono chiamando direttamente il cliente da numeri ufficiali tramite una tecnica denominata “spoofing”.

Essere vittima di una frode online è molto più semplice di quello che puoi pensare. A volte basta aprire un banale allegato, oppure cliccare un link. È importante fare sempre attenzione a fornire i tuoi dati personali.

L’elemento che contraddistingue le varie tecniche di frode online è la modalità con cui i frodatori si mettono in contatto con le vittime. L’obiettivo è sempre lo stesso: rubare informazioni riservate (come ad esempio dati bancari, numeri di carte di credito, la password per accedere alle email, i codici del tuo internet banking…) per fini illeciti.

I frodatori generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) o un’azienda molto nota, sfruttandone illecitamente il brand (“marchio”), per indurre gli utenti a fidarsi.

Generalmente i malintenzionati contattano gli utenti tramite:

• email (phishing)
• SMS (smishing)
• App di messaggistica istantanea (es. WhatsApp o Telegram) o telefonate (vishing)

Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di “social engineering“, ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali.

Per abbassare il livello di difesa a volte i frodatori possiedono già molti tuoi dati personali, trovando informazioni di base online(ad esempio, attraverso i social media). Non presumere dunque che chi ti contatta sia autentico solo perché possiede questi dati.

Phishing – Cos’è e come funziona

Il phishing (da “to fish”, “pescare”, perché la vittima viene “presa all’amo” dal malintenzionato) è una tecnica ingannevole che sfrutta le comunicazioni via email e che mira a farti compiere un’azione (come cliccare su un link o scaricare un’app che spesso si rileva malevola) per rubarti l’identità o i dati personali, allo scopo di accedere ai tuoi conti bancari e carte di credito per fini illeciti.

A quali segnali devi prestare particolare attenzione? Inizia considerando che le false email richiedono sempre un’azione specifica come:

• cliccare su un link che rinvia a una pagina in cui inserire i dati bancari e personali
• aprire un file allegato che potrebbe contenere programmi malevoli (malware)
• installare o aggiornare applicazioni da siti e store non ufficiali (non immediatamente riconoscibili)
• comunicare i tuoi dati personali o codici di sicurezza.

Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i frodatori modificano i messaggi autentici per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest’ultimo segue perfettamente lo stile e la grafica del sito originale. Un sito identico a quello già noto e rassicurante fa scattare un bias di conferma (l’hai già visto, quindi ci credi). Questo aumenta la credibilità del falso e alimenta la tua propensione a prendere decisioni sulla base delle informazioni che puoi reperire facilmente (bias di disponibilità).

Smishing

Lo smishing (dalla combinazione delle parole “SMS” e “Phishing”) è il tentativo da parte dei frodatori di acquisire informazioni personali, finanziarie o di sicurezza tramite l’invio di SMS. Il messaggio può arrivare da un numero di telefono che non hai salvato in rubrica oppure può capitare che un SMS si posizioni all’interno della cronologia autentica di messaggistica della Banca, grazie a sofisticate tecniche informatiche utilizzate dai criminali.

Quali i segnali monitorare? Ad esempio il fatto che i falsi SMS richiedono sempre un’azione specifica da parte del destinatario, come:

• l’SMS ti chiede di collegarti ad un link
• cliccando su un link, una volta sul sito, ti vengono richieste delle credenziali di accesso (nomi utente, email, password, numeri di carte di credito)
• l’SMS ti chiede di chiamare un numero di telefono per “verificare”, “aggiornare” o “riattivare” il tuo account

Il vishing

Il vishing (dalla combinazione delle parole “Voice” e “Phishing”) è una frode telefonica in cui i frodatori cercano di indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire loro del denaro, spacciandosi al telefono per rappresentanti di aziende o di utenze. La frode tramite vishing può avvenire anche dopo un SMS o una email. I criminali combinano diverse tecniche per cercare di confonderti. Ed è proprio l’effetto congiunto di questa frequenza di contatti a renderli più credibili e persuasivi (bias di frequenza).
Il frodatore fa solitamente leva sull’urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia con l’interlocutore rispetto ad una asettica email.

In molti casi, il malintenzionato tenta di indurre la vittima a scaricare un’applicazione, che una volta installata permette all’aggressore di rubare altri dati personali.

Se pensi di essere stato vittima di una frode online, che ha comportato il furto dei tuoi dati personali o dei tuoi codici di accesso al conto e di sicurezza, rivolgiti tempestivamente alla tua alla banca.