L’ALTRA FACCIA DELLA TECNOLOGIA

Dal raggiro reale a quello virtuale
By Lorenzo Mazzoccante
Pubblicato il 3 Febbraio 2020

Tra le truffe più diffuse abbiamo phishing, estorsioni online, ping calls, intrusioni via wifi pubblico e skimming. Vediamo in cosa consistono e come difendersi…

La tecnologia ci ha cambiato la vita sotto molteplici aspetti. La diffusione della rete e l’avvento di banda larga e ultra larga hanno prodotto un complicato intreccio tra opportunità e nuove problematiche.

Le relazioni, il commercio e persino il mondo del lavoro sono stati oggetto di profondi cambiamenti.

Un rinnovamento che però ha riguardato anche la parte marcia della società. Così anche il mondo della truffa si è spostato dal reale al virtuale.

È ad esempio molto semplice rubare una identità digitale: una ricerca incrociata sui social fornisce tutte le informazioni di base, e se ci manca il codice fiscale bastano pochi click per generarlo online. Poi, con un po’ di pazienza si può sniffare (da to snif, che significa fiutare) qualche password o i dati di qualche documento di credito… E via allo shopping a scapito del malcapitato.

Non è un caso se Google ha iniziato a marcare come poco sicuri i siti web che non implementano il protocollo di crittografia ssl per proteggere le informazioni scambiate tra utente e sito. Certo, non risolve il problema, però costringere i webmaster a implementare un primo protocollo di sicurezza e complica la vita a potenziali malintenzionati.

Ma guai a pensare che basti questo per metterci al sicuro. Esistono numerose tecniche utili a violare i nostri dati in rete, come nel mondo reale. Alcune richiedono competenze tecniche, altre sono solo molto ingegnose. Tra le più diffuse abbiamo phishing, estorsioni online, ping calls, intrusioni via wifi pubblico, e skimming. Vediamo in cosa consistono e come difendersi.

Il phishing è una tecnica di truffa tra le più semplici e efficaci.

Un malintenzionato prima crea una copia di un sito istituzionale (supponiamo della banca www.miabanca.it), poi getta l’amo aspettando che qualcuno abbocchi (phishing è una variante di fishing, da to fish, pescare).

L’amo è solitamente una mail che invita a inserire sul sito (contraffatto) le credenziali di accesso al sito reale. Ad esempio:

“Gentile cliente, miabanca.it informa che, per rendere il proprio database più performante tutti gli utenti inattivi verranno cancellati. Conferma il tuo account cliccando qui”.

L’utente viene così inviato sul sito contraffatto e, credendo di trovarsi in quello reale, inserisce le proprie credenziali conferendole – di fatto – al truffatore.

Per riconoscere un tentativo di phishing ricordiamo almeno che:

  1. nessun soggetto istituzionale domanderà mai di conferire le proprie credenziali di accesso;
  2. un soggetto istituzionale ci contatterà da un indirizzo email professionale (diffidiamo da email gratuite tipo google, libero, hotmail, eccetera);
  3. spesso basta un carattere a fare la differenza: ad uno sguardo superficiale miabianca.it si confonde con miabanca.it, ma sono due indirizzi diversi.

Sempre più frequenti sono i tentativi di estorsione online.

L’attacco avviene con un virus del tipo ransomware (da ramson, che significa riscatto).

Il virus entra di solito attraverso un allegato di posta elettronica (es. un documento fattura.pdf).

Aprendo il file il virus si attiva.

Al successivo riavvio del pc (magari il giorno seguente), ci si trova impediti ad accedere ai propri documenti perché sono stati criptati. Inutile cercare una soluzione in rete: il browser ripeterà fino alla nausea le istruzioni per pagare il riscatto in bitcoin tramite la rete anonima tor.

In questo caso, la prima cosa da fare è disconnettere fisicamente il pc dalla rete per evitare di diffondere il virus ad altri dispositivi.

Se il pc è privato ci si potrà anche arrendere all’idea di perdere le foto di figli e nipoti e qualche documento. Ma se il pc è di una azienda, o di un professionista? Può darsi che si sia propensi a pagare il riscatto. Non è certo, però, che questo risolva il problema. In fondo, quanto è credibile la parola di chi delinque?

Le difese, in questo caso, sono solo preventive:

  1. installare un buon antivirus e tenerlo sempre aggiornato;
  2. evitare di aprire allegati (anche da fonti attendibili) che non siano almeno annunciati dal mittente o attesi,
  3. procurare di fare un backup periodico dei documenti che non vorremmo mai perdere, magari salvandoli nel cloud.

Salite alla ribalta dopo il servizio di Nicolò De Vitiis per Le Iene, le Ping Calls letteralmente chiamate di ritorno, sono un moderno tipo di truffa telefonica.

L’utente trova una chiamata persa (spesso da un numero straniero), lo richiama e in pochi minuti si vede prosciugato il credito residuo della sim.

La telefonata, infatti, lo ha connesso a quello che dovrebbe essere un servizio a pagamento, ma a tariffe da record.

Il modo migliore per difendersi è quello di evitare di richiamare un numero straniero, specialmente se non conosciuto, oppure fare almeno una ricerca in rete prima di richiamarlo: spesso, infatti, questi numeri sono segnalati come truffaldini e la loro reputazione li precede. Le ping calls agli utenti italiani provengono,  per lo più, da Tunisia, Kosovo, Moldavia e Regno Unito (+216, +383, +373, +44).

Vi è mai capitato di andare in un aeroporto, o in un ristorante, o magari in un’area di servizio e di collegarvi a una rete libera, ovvero non protetta da password? Spesso sono un potenziale vespaio di insidie perché le informazioni vengono trasferite in chiaro e sono facilmente intercettabili.

Come difendersi?

  1. Diffidiamo dalle reti aperte. Ormai molti operatori offrono decine di giga che sono molto più di quanto useremo in un mese. Vale veramente la pena rischiare, solo per risparmiare qualche mega?
  2. Se proprio non possiamo fare a meno di connetterci ad una rete aperta usiamo almeno una VPN (virtual privat network). Si tratta di sistema per nascondere i dati in uscita.

La configurazione può essere è resa facile da apposite applicazioni per pc o smartphone, anche di gratuite.

Tra le frodi più interessanti c’è quella dello skimming relativa all’uso di carte di credito ed ha sia una versione analogica che una digitale.

Si tratta di una struttura che, aggiunta a quella normale, legge le informazioni della carta e la invia al truffatore.

La versione analogica, riguarda sportelli atm e distributori di carburante a cui viene aggiunto un dispositivo fisico. La versione digitale prevede l’aggiunta di codice (generalmente in javascript) per pagine di pagamento dei siti di e-commerce precedentemente “bucati”.

Le operazioni andranno generalmente a buon fine sicché l’utente potrebbe non accorgersi di nulla fino al successivo estratto conto della carta di credito… La difesa riguarda purtroppo solo il mondo analogico dove possiamo testare con mano che l’hardware non sia posticcio. In ambito digitale, invece, possiamo solo cercare di limitare i danni: accertandoci che la pagina usi un protocollo sicuro (https) e preferendo le carte prepagate.

Insomma, il progresso tecnologico offre mille opportunità. Nel bene e, purtroppo, anche nel male. È quindi necessario essere estremamente prudenti e usare ogni possibile precauzione.

Comments are closed.