Frodi online: phishing, vishing e smishing
Le principali tecniche che i malintenzionati usano per rubare informazioni riservate e personali
Le truffe online, con il passare del tempo, sono diventate sempre più sofisticate e complesse, quindi sempre più difficili da riconoscere.
Quando si ricevono da un mittente sospetto messaggi o chiamate che mirano a far compiere un'azione, facendo leva sul senso di urgenza, è necessario non agire impulsivamente e non compiere alcuna azione o operazione.
Essere vittima di una frode online è molto più semplice di quello che si possa pensare. A volte basta semplicemente aprire un banale allegato, oppure cliccare un semplice link. È importante fare sempre attenzione a fornire i nostri dati personali quando navighiamo in rete: è sufficiente una piccola distrazione per venire frodati.
L’elemento che contraddistingue le varie tecniche di frode online è la modalità con cui i frodatori si mettono in contatto con le vittime. L’obiettivo è sempre lo stesso: rubare informazioni riservate (come ad esempio dati bancari, numeri di carte di credito, la password per accedere alle email, i codici del tuo internet banking...) per fini illeciti.
I malintenzionati contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o telefonate (vishing).
Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di "social engineering", ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social network (come Facebook, Instagram, ecc.) si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle nostre amicizie. Sono tecniche molto insidiose perché utilizzano l’inganno o sfruttano l’ingenuità della vittima per indurla a fidarsi di chi la sta contattando.
Esistono per fortuna consigli pratici da applicare per tutelarsi dalle frodi online.
Il phishing (da “to fish”, “pescare”, perché la vittima viene “presa all’amo” dal malintenzionato) è una tecnica ingannevole che sfrutta le comunicazioni via email, e che mira a farci compiere un’azione (come cliccare su un link o scaricare un’app) per rubarci l’identità o i dati personali, allo scopo di accedere ai nostri conti bancari, e carte di credito per fini illeciti.
Esistono dei segnali da monitorare, ad esempio il fatto che le false email richiedono sempre un’azione specifica da parte del destinatario, come:
- cliccare su un link che rinvia a una pagina in cui inserire i dati bancari e personali
- aprire un file allegato che potrebbe contenere programmi malevoli (malware)
- installare o aggiornare applicazioni da siti e store non ufficiali
- comunicare i tuoi dati personali o codici di sicurezza.
I truffatori generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) o un’azienda molto nota, sfruttandone illecitamente il brand (“marchio”), per indurre gli utenti a fidarsi. Per farlo, spesso usano dati dell’utente che già possono conoscere (data di nascita, indirizzo di residenza…), in modo da spingerlo a divulgare informazioni confidenziali.
Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle aziende, per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest’ultimo segue perfettamente lo stile e la grafica del sito originale. Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.
Come riconoscerlo?
- Indirizzo del mittente: Il messaggio di solito sembra provenire da una banca o da un’organizzazione conosciuta. Può essere simile all’indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com
- Oggetto sospetto: spesso è strutturato come risposta a un messaggio (“RE:”) che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese
- Errori di grammatica, traduzione o formattazione nel testo o nel nome dell’azienda oppure il logo riprodotto male sono dettagli che devono insospettirti: quasi sempre si tratta di phishing
- Esca allettante: ad esempio vincite a presunti concorsi, offerte di lavoro, regali o premi, di solito sono finte; se parlano di vincite di denaro vanno sempre ignorate
- Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena la disattivazione dell’account
- Invito all’azione ( “Verifica subito”, “Vai al sito” ecc.):per esempio, viene richiesto di collegarsi al sito per sbloccare il conto, regolarizzare la propria situazione bancaria o compilare un form ("modulo")
- Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate
- Link fasulli: in caso di phishing potresti notare alcune stranezze nell’URL (come codici numerici) che lo rendono diverso da quello ufficiale.
Fai attenzione al dominio e a eventuali errori di battitura. - Posta indesiderata: i messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.
Come evitarlo?
- Controlla sempre la provenienza delle comunicazioni che ricevi e verifica l’attendibilità del mittente
- Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc) non rispondere e cestina il messaggio
- Non cliccare su link e non scaricare l’allegato e le immagini che contengono se il mittente è sconosciuto o il contenuto ti sembra sospetto
- Fai attenzione ai dettagli e controlla bene il testo e gli errori di grammatica
- Il truffatore maschera molto bene il proprio indirizzo web. Per controllare i link, basta passare il puntatore del mouse sopra l’indirizzo (senza cliccare) per visualizzare l’URL di destinazione. Il primo elemento da prendere in considerazione per verificare la sicurezza del sito web è l’utilizzo del protocollo https:// (la “S” indica che è sicuro). Inoltre, cliccando sul lucchetto presente nella barra di ricerca è possibile verificare i dettagli della certificazione
- Se scarichi i messaggi di posta sul computer ( tramite programmi come Microsoft Outlook) assicurati che la cartella di posta indesiderata sia attiva
- Se hai dei dubbi sulle richieste sospette o pensi di essere caduto vittima di phishing contatta la tua filiale o il tuo Gestore
Se pensi di aver risposto ad un messaggio di phishing fornendo i tuoi dati bancari, contatta subito la Filiale Digitale
Lo smishing (dalla combinazione delle parole "SMS" e "Phishing") è il tentativo da parte dei truffatori di acquisire informazioni personali, finanziarie o di sicurezza tramite l'invio di SMS.
Come riconoscerlo?
- Numero di provenienza: il messaggio arriva da un numero di telefono che non abbiamo salvato in rubrica. Nei casi più subdoli é anche possibile che l’SMS si posizioni all’interno della cronologia autentica della banca. Questo fenomeno è definito Swap Alias
- Contenuto sospetto: l'SMS ti chiede di collegarti ad un link
- Richiesta dati personali: cliccando su un link, ti vengono richieste delle credenziali di accesso (nomi utente, e-mail, password, numeri di carte di credito)
- Numero di telefono: l’SMS ti chiede di chiamare un numero di telefono per "verificare", "aggiornare" o "riattivare" il tuo account
- Download app: In molti casi, ti viene chiesto di scaricare un’applicazione sul telefono tramite un link (che in genere rimanda a uno store non autorizzato)
Come evitarlo?
- Fatti lasciare un numero di telefono fisso rintracciabile e verifica l'identità del tuo interlocutore
- Non cliccare su link, allegati o immagini che ricevi tramite SMS sospetti
- Non rispondere mai ad un SMS che richiede il tuo pin o la password del tuo conto online o qualsiasi altra credenziale di sicurezza
- Elimina gli SMS sospetti contenenti dei link
- Scarica applicazioni solo dagli store ufficiali, mai direttamente da un messaggio WhatsApp o SMS
- Fai attenzione al testo e controlla gli errori di grammatica
- Se hai dei dubbi e pensi di aver ricevuto un SMS sospetto contatta subito la Filiale Digitale o il tuo Gestore
Se pensi di aver subito una frode fornendo i tuoi dati bancari, contatta subito la Filiale Digitale
Il vishing (dalla combinazione delle parole "Voice" e "Phishing") è una frode telefonica in cui i frodatori cercano di indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire loro del denaro, spacciandosi al telefono per rappresentanti di aziende o di utenze. La frode tramite vishing può avvenire anche dopo aver dato seguito ad un SMS di smishing o a una email di phishing.
La combinazione di diverse tecniche mira a confondere la vittima.
Il visher (il truffatore che utilizza tecniche di vishing) sfrutta la manipolazione emotiva e trucchi psicologici per convincere le vittime a rivelare informazioni personali. L’aggressore fa solitamente leva sull’urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia con l’interlocutore rispetto ad una asettica email. Ad esempio, credendo di parlare con il tuo gestore di telefonia, sarai più propenso a fornire dati personali.
Ad abbassare il livello di difesa c’è la constatazione che il truffatore possiede già molti dati personali della vittima. I truffatori possono trovare le tue informazioni di base online (ad esempio attraverso i social media). Non presumere dunque che chi chiama sia autentico solo perchè possiede questi dati.
In molti casi, il visher indurrà la vittima a scaricare un ’applicazione, che una volta installata permetterà all’aggressore di rubare altri dati personali (vedi malware).
Come riconoscerlo?
- Il numero di telefono è sconosciuto oppure sembra un numero autentico (questo è possibile tramite il fenomeno dello spoofing, un tipo di attacco informatico che impiega varie strategie per la falsificazione dell’identità del mittente; in particolare, si verifica quando un terzo contatta telefonicamente la vittima apparendo con lo stesso numero di telefono della banca)
- Chi chiama dice di appartenere ad un call center di un istituto di credito, di una società di software o di telecomunicazioni
- L’interlocutore, talvolta con la scusa di risolvere qualche problema segnalato in precedenza, generalmente tramite l’invio di messaggi, chiede di fornire i dati del conto o altre informazioni personali oppure di scaricare un’app sul telefono
Come evitarlo?
- Fai attenzione alle chiamate telefoniche indesiderate
- Segnati il numero del chiamante e avvisalo che lo richiamerai
- Per verificare l’identità, contatta direttamente la banca o l’organizzazione
- Fai sempre riferimento ai numeri di telefono riportati sul sito web ufficiale dell’azienda
- Non dare credito al frodatore utilizzando il numero di telefono che ti ha fornito (potrebbe trattarsi di un numero falso o contraffatto)
- Se hai dubbi, interrompi la conversazione e contatta direttamente il servizio clienti dell’azienda per assicurarti che si tratta di una procedura regolare
Se pensi di aver ricevuto una finta chiamata dalla banca, contatta subito la Filiale Digitale
Come proteggersi in caso di addebito fraudolento a seguito di una truffa telematica
Se non hai autorizzato tu un’operazione, puoi rivolgerti alla banca per fare richiesta di disconoscimento tramite i seguenti passaggi:
- Blocca la carta, l’internet banking o l’app;
- Compila e firma il questionario;
- Attendi l’esito della richiesta: la banca analizza l’accaduto e al termine di verifiche approfondite ti fornisce un riscontro.
Se non hai ricevuto risposta entro i termini resi noti con i documenti di Trasparenza Bancaria o non sei soddisfatto dell'esito del disconoscimento e/o reclamo, potrai attivare una procedura di Conciliazione; maggiori informazioni sono disponibili presso le filiali del Gruppo Intesa Sanpaolo e sul sito www.intesasanpaolo.com e https://www.intesasanpaolo.com/it/persone-e-famiglie/reclami.html.
In alternativa potrai ricorrere alle risoluzioni alternative delle controversie come da informazioni consultabili sul sito www.intesasanpaolo.com
Condividi tramite