Frodi online: Phishing
Si trasmette la nota del Centro Operativo Sicurezza Cibernetica “Toscana” – Polizia Postale Firenze contenente i suggerimenti per prevenire il fenomeno delle truffe online:
Frodi online: Phishing
Tra le innumerevoli tipologie di truffe online, il “Phishing” occupa senz’altro uno dei primi posti, per frequenza e capacità lesiva, anche in considerazione dell’uso di avanzate tecniche di “ingegneria sociale”, attraverso le quali la persona offesa viene indotta a fornire informazioni personali, dati sensibili e codici di accesso o a cliccare su link fraudolenti.
Uno dei casi più ricorrenti coinvolge gli utilizzatori dei servizi di home banking, con un modus operandi che si sviluppa, in genere, attraverso due distinti passaggi:
· l’iniziale creazione di una o più pagine web identiche al sito di un determinato istituto bancario e quindi capaci di trarre facilmente in inganno gli utenti;
· l’invio massivo di e-mail, utilizzando liste di indirizzi di posta elettronica precedentemente acquisite con vari metodi, spesso illeciti, con le quali, sostituendosi all’istituto bancario, viene chiesto di effettuare l’accesso al proprio servizio di home banking per verificare i dati personali o con altre scuse in apparenza plausibili (compresa, ad esempio, la prospettazione di operazioni rischiose e sospette che è necessario bloccare per la sicurezza dell’utente). All’interno dell’e-mail è di solito presente un link al sito del falso istituto bancario, che, in realtà, rimanderà allo spazio web utilizzato dal phisher.
Quando l’utente, cliccando sul predetto link, inserirà i dati di accesso, questi verranno inviati al phisher che sarà in grado, in breve tempo, di accedere al conto ed effettuare le operazioni necessarie per sottrarre il denaro presente.
Oggi esistono anche virus, capaci di inviare ai malviventi le credenziali di accesso ai servizi di home banking, la cui variante più conosciuta è denominata “Zeus”. Il virus, contenuto in genere all’interno di un allegato ad e-mail, si installa automaticamente nel dispositivo della vittima, una volta che l’allegato viene aperto e rimane “silente” fino a quando non verrà fatto accesso ai servizi di home banking.
Molta attenzione deve essere prestata anche ad e-mail apparentemente provenienti da soggetti istituzionali, come l’INPS, le Forze dell’Ordine, l’Agenzia delle Entrate o la Banca d’Italia, con cui viene richiesto, adducendo innumerevoli e diversificati pretesti, la compilazione di “form” con inserimento di dati personali o anche il pagamento di ipotetiche multe per violazioni mai commesse dagli utenti.
Inoltre, accade spesso che e-mail ed SMS siano inviati da presunti corrieri che rappresentano l’impossibilità di consegnare un pacco (con varie scuse, come un indirizzo non valido), chiedendo all’utente di cliccare su un link, che come sempre si rivelerà malevolo.
Il “Phishing”, del resto, si è progressivamente evoluto nello “Smishing” (parola che deriva dall’unione della sigla “SMS”, ossia messaggio di testo inviato tramite cellulare e “phishing”) e nel “Vishing” (ossia, “voice” e “phishing”, tecnica che consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale un finto operatore di banca, attraverso raggiri ed argomentazioni capziose, la persuade a fornire i codici dispositivi del proprio rapporto finanziario).
Il nuovo sistema di raggiro delle vittime, che mira sempre all’acquisizione illecita di codici dispositivi e dati riservati, si sviluppa inizialmente mediante l’invio di falsi SMS di servizi bancari o di altro genere, originati da utenze telefoniche identiche a quelle dello stesso istituto di credito[1][1] o del fornitore di un determinato servizio. I messaggi in questione, usando utenze analoghe a quelle già presenti nel dispositivo della vittima, non vengono riconosciuti dal software dello smartphone e quindi vengono automaticamente collocati in coda ad altri messaggi autentici in precedenza ricevuti. Ciò induce le ignare vittime, convinte della veridicità delle richieste, a rilasciare i dati di accesso e di autenticazione dell’home banking o altri codici e dati riservati, cliccando sul link malevolo che produrrà gli effetti già in precedenza descritti.
In molti casi, avendo perfezionato le tecniche di aggressione ai danni della vittima, i malviventi sono in grado di simulare un malfunzionamento della pagina, che non permette la prosecuzione della procedura di accesso ai servizi di home banking, avvisando l’utente che sarà a breve contattato da un operatore per la risoluzione dei problemi.
Effettivamente, dopo pochi minuti, la vittima riceve una chiamata in apparenza proveniente dal “numero verde” in uso alla banca, nel corso della quale il falso operatore, prospettando presunte criticità tecniche o l’urgenza di bloccare movimenti sospetti in uscita a tutela del “cliente”, riesce a farsi consegnare le “chiavi” di accesso al conto o i cosiddetti codici OTP, dispositivi delle operazioni, utilizzandoli per scopi fraudolenti, quali bonifici e pagamenti.
La Polizia Postale, al riguardo, consiglia:
· gli Istituti di credito o le Società che emettono carte di credito non chiedono mai la conferma di dati personali tramite e-mail, SMS o telefonate. Bisogna sempre diffidare delle e-mail e degli SMS che, tramite un link in essi contenuti, rimandano ad un sito web su cui confermare i propri dati;
· nel caso si riceva un’e-mail, un SMS o una telefonata, presumibilmente da parte della banca di cui si è clienti, con cui vengono richiesti dati personali riservati, occorrerà recarsi personalmente presso il proprio istituto di credito o chiamare il numero della propria banca, mai il numero indicato nella e-mail o nell’SMS;
· se l´e-mail o l’SMS di richiesta informazione sembrano autentici, è sempre bene diffidare del link con essi fornito e verificare, collegandosi al vero sito della banca, digitando direttamente l’indirizzo nel browser, mai utilizzando il predetto link (che rimanderebbe fatalmente alla pagina “clone”);
· verificare sempre che nei siti web in cui è richiesto di immettere dati (account, password, numero di carta di credito, altri dati personali), nella barra in cui compare l’indirizzo sia presente, prima dell’indirizzo, la sigla di sicurezza “https” o l’immagine del lucchetto chiuso;
· modificare periodicamente le credenziali di accesso ai servizi on-line, evitando di usare la stessa password per più siti o per servizi diversi;
· ricordarsi di aggiornare il sistema operativo quando richiesto;
· installare sul proprio dispositivo un buon antivirus ed un filtro anti-spam.