Vai al contenuto principale

Frodi online: phishing, vishing e smishing

Le principali tecniche che i malintenzionati usano per rubare informazioni riservate e personali

A volte il punto di partenza potrebbe essere l’apertura di un banale allegato oppure un semplice clic a un link. Dobbiamo sempre fare attenzione quando navighiamo in rete e lasciamo i nostri dati personali, a volte basta una piccola distrazione per cadere vittima di una frode. E’ quindi molto importante conoscere le principali tecniche che i malintenzionati usano per attaccare online.

 

Esistono varie pratiche illegali che differiscono l’una dall’altra nel modo in cui il truffatore si mette in contatto con le vittime. Ma l’obiettivo è lo stesso: rubare informazioni riservate (come dati bancari, numeri di carte di credito, il pin del tuo telefono, la password per accedere alle email e i codici del tuo internet banking...) per fini illeciti.

 

I malintenzionati contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o addirittura telefonate (vishing).

 

Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di "social engineering", ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social network si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle nostre amicizie. Sono tecniche molto insidiose perché utilizzano l’inganno o sfruttano l’ingenuità della vittima per indurla a fidarsi di chi la sta contattando.

 

Esistono per fortuna consigli pratici da applicare sin da subito per tutelarsi dalle frodi online.

 

Il phishing (da «to fish», «pescare», perché la vittima viene «presa all’amo» dal truffatore)  è un messaggio ingannevole che arriva via e-mail, che mira a farci compiere un’azione (esempio, cliccare su un link o scaricare una app) per rubarci l’identità o i dati personali allo scopo di accedere ai nostri conti bancari, carta di credito o per altre operazioni criminali.

 

Le tipiche azioni richieste dal phisher sono:

  • cliccare su un link, che conduce a un modulo dove inserire i nostri dati bancari o personali
  • installare a nostra insaputa un app malevola ("malware")
  • rispondere direttamente coi nostri dati, password o codici di accesso

I phisher generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) o un’azienda molto nota, sfruttandone illecitamente il loro brand, per indurre gli utenti a fidarsi, anche sfruttando dei dati sull’utente che già si conoscono (data di nascita, indirizzo di residenza…) per spingerlo a divulgare informazioni confidenziali.

 

Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle aziende, per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest’ultimo segue perfettamente lo stile e la grafica del sito originale. Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.

Come riconoscerlo?

  • Indirizzo del mittente: Il messaggio di solito sembra provenire da una banca o da un’organizzazione conosciuta. Può essere simile all’indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com
  • Oggetto sospetto: spesso è strutturato come risposta a un messaggio (“RE:”) che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese
  • Errori di grammatica, traduzione o formattazione nel testo o nel nome dell’azienda oppure il logo riprodotto male sono dettagli che devono insospettirti: quasi sempre si tratta di phishing
  • Esca allettante: ad esempio vincite a presunti concorsi, offerte di lavoro, regali o premi, di solito sono finte; se parlano di vincite di denaro vanno sempre ignorate
  • Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena disattivazione dell’account
  • Invito all’azione ( “Verifica subito”, “Vai al sito” ecc.):per esempio, viene richiesto di collegarsi al sito per sbloccare il conto o regolarizzare la propria situazione bancaria o compilare un form
  • Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate
  • Link fasulli: in caso di phishing noterai strani codici numerici o altri URL che non hanno nulla a che vedere con il sito che ti viene richiesto di visitare. Attenzione agli indirizzi web accorciati tramite servizi come TinyURL o Google url shortener.
  • Posta indesiderata: I messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.

Come evitarlo?

  • Controlla sempre la provenienza delle comunicazioni che ricevi e verifica l’attendibilità del mittente
  • Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc) non rispondere e cestina il messaggio
  • Non cliccare sul link e non scaricare l’allegato e le immagini che contengono se il mittente è sconosciuto; Se conosciuto, prima di aprirli, è sempre meglio verificare con il mittente
  • Fai attenzione ai dettagli e controlla bene il testo e gli errori di grammatica
  • Il phisher maschera molto bene il proprio indirizzo web.Per controllare i link, basta passare sopra (senza cliccare) il puntatore del mouse per visualizzare la url di destinazione.
  • Se scarichi i messaggi di posta sul computer ( tramite programmi come Microsoft Outlook) assicurati che la cartella di posta indesiderata sia attiva
  • Prova a rispondere alla e-mail sospetta (Reply): se ricevi un errore di invio o ricezione perché l’indirizzo del destinatario è inesistente può trattarsi di una truffa

Se pensi di aver risposto ad un messaggio di phishing fornendo i tuoi dati bancari, contatta subito la Filiale online

Approfondimenti