È di luglio 2023 il Rapporto CENSIS-IISFA sul valore della cybersecurity in Italia che parte subito evidenziando l’aumento costante dei reati informatici, non solo verso i soggetti pubblici ma anche verso i privati.
In particolare, la crescita del 32% dei reati informatici commessi contro soggetti privati si concentra in attacchi a servizi IT e bancari: il 76% degli italiani ha avuto a che fare con almeno una minaccia informatica nel corso del 2022.
Le tecniche più utilizzate sono il phishing ma anche lo smishing e il vishing, gli ultimi due dalla denominazione meno nota ma pur sempre diffusi e pericolosi: conoscere questi e altri termini è una delle vie per avere consapevolezza dei rischi che si possono correre e adottare alcune misure-base per vivere online con un filo di sicurezza in più.
Phishing, smishing, vishing: cosa sono?
Le tecniche che i truffatori possono usare per indurre a rivelare dati personali, codici e altri dati relativi a servizi importanti come quelli bancari.
La differenza tra phishing, smishing e vishing sta nel mezzo utlizzato: il phishing via email, lo smishing (SMS+phishing) via messaggi di testo, il vishing (voice+phishing) a voce, al telefono.
Il phishing via email
I filtri antispam di servizi di gestione delle email come Gmail funzionano di solito molto bene, ma può sempre spuntare una mail che sembra arrivare da qualcuno che conosci, di cui sei cliente e di cui ti fidi, per esempio la tua banca o un ente come la posta, ma anche altre realtà note, per esempio i grandi ecommerce o i servizi di streaming.
Il phishing non è affatto una novità, ma nel tempo è diventato più raffinato e ingannevole perché spesso le email, anche dalla loro impostazione grafica, sembrano davvero comunicazioni ufficiali.
Tipicamente, una email di phishing tenta di far rivelare dati cruciali come i codici bancari, indicando un link da cliccare che può portare a un sito che sembra proprio quello giusto, ma che in realtà è stato costruito apposta per far andare in porto la truffa.
Realtà come le banche non chiedono mai direttamente i dati dei clienti o i codici per eseguire, controllare, bloccare operazioni o azioni di altro tipo, e questo è il primo segnale che dovrebbe fare insospettire. Attenzione anche a come sono scritti i messaggi: se l’italiano zoppica, potrebbe essere un segnale che l’email non proviene da una fonte ufficiale.
Inoltre, è sempre bene controllare l’indirizzo email del mittente e il link di destinazione, che potrebbero sembrare proprio quelli reali all’apparenza ma rivelare facilmente l’inganno a una verifica più accurata.
Attenzione poi alla presenza di allegati quando le email segnalano che c’è un avviso da aprire, un premio da sbloccare o una fattura da scaricare, per evitare di incappare in malware assai pericolosi.
In caso di dubbi, comunque, meglio chiamare il servizio clienti dell’azienda o dell’ente e spiegare e segnalare quanto successo.
Lo smishing via SMS
Arriva un SMS sullo smartphone e dal mittente sembra proprio provenire dalla banca o dalle poste o altre realtà note come gestori di energia o enti statali, oppure da aziende e brand famosi: tutti hanno sicuramente il vantaggio di saper catturare subito la nostra attenzione.
Il testo, di solito, contiene una motivazione falsa ma allettante o allarmante che invita a cliccare su un link o un numero di telefono contenuto nel messaggio, per esempio per aggiornare i dati, controllare un movimento, aderire a un’offerta vantaggiosa, controllare la consegna di un pacco, ovviamente chiedendo di inserire dati sensibili, codici o anche i dati della carta di credito.
Anche in questo caso, è bene osservare con cura il messaggio: spesso il link presente nel testo rivela che il sito al quale ci si collegherà non è quello ufficiale e regolare. E come sempre, ricordare che banche, enti come le poste e sito di commercio non chiedono di rispondere o inviare messaggi che contengano dati riservati.
In altri casi ancora, lo smishing può essere un SMS che riesce a far scaricare un malware sul telefono che potrebbe esembrare una app regolare utilizzata per rubare dati sensibili.
Altri tentativi di truffa che non sono propriamente smishing ma agiscono comunque via messaggi scritti potrebbero arrivare sui social o su WhatsApp, sempre per carpire dati sensibili.
Il vishing al telefono
Anche le telefonate possono essere camuffate per sembrare provenienti da aziende ed enti che conosciamo e di cui siamo clienti.
Diversa modalità di comunicazione, perché il contatto avviene con una persona reale o con un messaggio vocale, e sempre lo stesso fine: ottenere dati sensibili, per esempio per accedere al conto bancario.
La comunicazione a voce può essere più subdola e quindi più pericolosa perché la persona dall’altra parte del telefono potrebbe essere particolarmente coinvolgente, soprattutto quando la sua tecnica è far sentire l’interlocutore in pericolo. Un esempio classico è il pericolo di perdere soldi: l’interlocutore potrebbe riuscire a farsi dare i dati della carta di credito con la scusa di bloccarla per prevenire un tentativo di uso fraudolento.
Oppure, in altri casi chi chiama potrebbe proporre occasioni allettanti e spesso inverosimili, come investimenti con rendimenti altissimi.
Se capita di rispondere, far vincere la prudenza e come sempre verificare e segnalare all’ente o all’azienda di riferimento quanto accaduto.
Difendersi dalle truffe: informazione, massima attenzione e strumenti utili
Cadere in una trappola come una di quelle appena descritte può accadere davvero a chiunque, per disattenzione o poca confidenza con il mondo online.
In generale, quindi, è utile cercare di evitare le azioni impulsive come cliccare su un messaggio di testo o una mail che ci sembra provenga da una fonte che conosciamo, o di accettare subito una proposta al telefono.
Spesso non è semplice, perché i truffatori esperti sanno come fare leva sulle nostre emozioni: se possibile, quindi, prendere tempo, verificare, chiedere a qualcuno più esperto di noi, e anche coinvolgere le autorità possono salvarci da conseguenze imprevedibili.
Una via è certamente informarsi e informare: per esempio, la Polizia Postale ha una sezione del suo sito dove indica e spiega pericoli e truffe, utile per aggiornarsi e capire meglio come si muovono i truffatori.
Ci sono poi alcuni accorgimenti pratici da non dimenticare mai e che sono le basi per evitare di mettersi nei guai:
- aggiornare i sistemi operativi ed eseguire gli aggiornamenti di sicurezza di computer, telefoni e altri dispositivi, e dei software utilizzati
- installare un buon antivirus (anche per il telefono cellulare)
- fare il backup dei file e dei dati
- utilizzare password complesse e diverse per ogni account: non serve ricordarle ed è pericoloso conservarle scritte, basta usare un buon password manager
- usare l’autenticazione a due fattori e non limitarsi solo alla password: il doppio passaggio, per esempio per poter usare un account o eseguire un pagamento, inserisce quel controllo diretto in più – per esempio un SMS con un codice che arriva a te – per proteggere meglio i servizi che usi.