Di furto d’identità ho già parlato in altri articoli, ma stavolta voglio prendere spunto da un interessante articolo pubblicato da Martha C. White nella sezione Moneyland del TIME Magazine, riguardante i dieci modi mediante i quali può essere rubata la tua identità, integrandone i contenuti in base alla mia esperienza e preparazione professionale.

Il furto d’identità è un fenomeno in costante aumento, le tecniche di social engineering vengono affinate giorno dopo giorno ed è sempre più probabile cadere vittima di questo specifico tipo di attacco personale, per questo è importante conoscere e riconoscere come esso può avvenire per evitarne le disastrose conseguenze.

Il social engineering

Per social engineering si intende quell’insieme di tecniche, non necessariamente informatiche, che possono indurre la vittima ad eseguire azioni desiderate dall’attaccante, solitamente con l’obiettivo di ottenere informazioni e strumenti necessari a perpetrare azioni fraudolente. Di conseguenza, il social engineer può essere sia un soggetto esterno (outsider) che un soggetto interno (insider) ad un particolare ambito: un’azienda, un’organizzazione o un qualsiasi gruppo di persone come, ad esempio, un nucleo famigliare.

Il social engineering sfrutta le debolezze e i fattori psicologici che fanno normalmente parte della natura umana, avvolgendo qualcosa di malevolo in un involucro ben strutturato di benevola apparenza, fiducia, consuetudine e supporto. Qualcuno si domanderà perché, in piena era tecnologica, viene ancora utilizzato il social engineering: semplice, perché il social engineering funziona ancora oggi ed è una delle armi più efficaci a disposizione dei cyber criminali.

Nei dieci punti che seguono cercherò di darvene la dimostrazione.

1. Phishing

Ricevi un messaggio e-mail dalla tua banca, da un servizio di pagamento online o dall’emittente della tua carta di credito, spesso con l’avviso che si sono verificati problemi di vario tipo sul tuo conto corrente o sull’account della carta e con l’immancabile link verso una versione contraffatta del sito web del finto mittente che contiene l’altrettanto immancabile modulo di login in cui inserire le proprie credenziali. Il messaggio può addirittura contenere una pagina HTML contraffatta direttamente in allegato.

Se si tratta di un istituto bancario, nella finta pagina di accesso può essere richiesto anche il codice generato automaticamente dal tuo token (la chiavetta) che la banca ti ha consegnato all’apertura del conto. L’inserimento del codice può essere richiesto più volte di seguito a fronte di falsi errori di inserimento. Successivamente il tuo browser viene abilmente indirizzato verso il vero sito web della tua banca, per evitare che in te sorga il minimo sospetto.

Prima di cliccare sui link o di aprire allegati, se ti soffermi sul messaggio ricevuto  potresti notare che:

• La codifica del messaggio è inusuale poiché esso contiene caratteri speciali o appartenenti ad altre lingue che con l’italiano non hanno nulla a che vedere;
• Il messaggio è sgrammaticato e contiene diffusi errori di ortografia;
• Alcuni termini sono errati, ad esempio Postamat diventa “Postemat”, oppure Poste Italiane diventa “Poste Italiene”;
• Il tono del messaggio è stranamente troppo confidenziale e informale per essere una comunicazione ufficiale di un istituto di credito o un circuito di pagamento internazionale.

Una fortuna per noi italiani è che la nostra lingua risulta ancora piuttosto ostica per i cyber criminali stranieri, che attualmente rappresentano la maggioranza e che provengono soprattutto dai paesi dell’est europeo.

Ottenendo l’accesso al tuo conto bancario o all’account della carta di credito, un cyber criminale può raccogliere tutte le preziose informazioni in esso contenute, ad esempio i dati anagrafici e l’indirizzo e-mail, oltre ad approfittarne per qualche spesa extra, ovviamente!

A volte si ricevono messaggi di phishing dagli istituti di credito più disparati, compresi quelli dove un conto corrente non l’abbiamo mai aperto. Ma i criminali sfruttano abilmente la legge dei grandi numeri inviando falsi messaggi aventi come mittenti numerosi istituti di credito a tutti gli indirizzi e-mail in loro possesso con la speranza (o la certezza) che prima o poi qualche destinatario cascherà nel tranello.

Se ricevi un messaggio di questo tipo, in barba al tuo sistema antispam, non cliccare su alcun link e non aprire gli eventuali allegati. Se vuoi toglierti qualsiasi dubbio, contatta il tuo istituto di credito telefonicamente o recati direttamente presso la tua filiale per verificare che il messaggio ricevuto sia legittimo.

A volte, però, potresti ricevere messaggi e-mail da mittenti apparentemente legittimi e appartenenti ai tuoi contatti, addirittura contestualizzati con il tuo nome di battesimo agevolmente rilevato dal tuo indirizzo e-mail, nonché grazie alla geolocalizzazione della rete Internet. Attenzione anche ai falsi profili e alle applicazioni fraudolente su Facebook che promettono funzionalità attraenti ma in realtà inattuabili come la possibilità di sapere chi visita il tuo profilo, chi ti sta spiando o un modo per conoscere la password di accesso di un tuo contatto.

2. Pretexting (lei non sa chi sono io!)

Il raggiro del pretexting funziona con un meccanismo analogo a quello del phishing, ma tramite un mezzo differente: il telefono. In questo caso il criminale, dopo aver recuperato il tuo numero telefonico fisso o di cellulare, si presenta come un’azienda legittima per indurti, con menzogne piuttosto elaborate, a fornire informazioni personali e riservate.

Il mittente della telefonata potrebbe presentarsi come un dipendente del tuo istituto di credito, di un ufficio pubblico, di una compagnia telefonica o di un’emittente televisiva a pagamento e dirti che esiste un problema con il tuo account che può essere risolto solo se confermi le tue informazioni anagrafiche, il tuo codice fiscale, le credenziali di accesso e altri dati simili.

Il tono della telefonata può essere dei più disparati: da quello conciliante a quello ansioso, passando per toni rigidi, distaccati o particolarmente accesi. Fa parte del gioco.

In caso di telefonate di questo tipo riaggancia senza fornire alcuna informazione e, se proprio vuoi toglierti il dubbio, contatta direttamente l’azienda presunta mittente della precedente telefonata per accertare eventuali problemi con il tuo account.

3. False offerte di lavoro

I criminali inviano, per posta elettronica o telefonicamente, un numero sempre crescente di false offerte di lavoro, proposte di lavoro da casa o finti incarichi di mistery shopper che, nella peggiore delle ipotesi, si tramutano in furti d’identità. Le proposte hanno spesso un aspetto molto professionale e si può giungere a vere e proprie interviste, generalmente telefoniche, seguite dalla formalizzazione di un’offerta di lavoro. Per completare il processo, però, ti viene richiesto di fornire i tuoi dati anagrafici e le coordinate bancarie compilando un modulo per consentire all’azienda proponente il deposito dello stipendio. Questo modulo è il mezzo per raccogliere le tue informazioni personali e riservate necessarie per rubarti l’identità. Ovviamente, non ci sarà alcun posto di lavoro.

Non importa da quanto tempo cerchi lavoro e quanto ardua sia la tua ricerca, presta la dovuta attenzione alle proposte di lavoro, siano esse online, telefoniche, via posta elettronica o addirittura fatte di persona.

4. Skimming, basta un attimo!

Lo skimmer è un piccolo dispositivo difficilmente individuabile che consente di leggere le informazioni dalla tua carta di pagamento. I criminali lo installano solitamente nelle colonnine dei distributori automatici di carburante, sulle feritoie degli sportelli ATM o nei terminali POS, trasformando una semplice operazione di routine in un assalto alla tua privacy. Grazie alla sua maneggevolezza, lo skimmer può essere utilizzato anche in esercizi pubblici come bar e ristoranti, così come in altre situazioni che prevedono l’utilizzo della carta di pagamento. Con i dati sottratti, i criminali possono generare copie della tua carta di pagamento e compiere acquisti e prelievi per tuo nome e conto.

Quando utilizzi la tua carta di pagamento presta la massima attenzione che il dispositivo in cui essa viene inserita non appaia manomesso o contraffatto. Non sempre è possibile rilevare uno skimmer, in particolare quando viene posizionato all’interno di un terminale POS, ma è comunque possibile ridurre il rischio tenendo gli occhi bene aperti. In tutte le occasioni di utilizzo del pagamento elettronico, in particolare nei negozi e negli esercizi pubblici, non perdere mai di vista la tua carta di pagamento, basta veramente un attimo!

5. Dumpster diving (spazzatura, che passione!)

I criminali non frugano fra i rifiuti per cercare resti di cibo come i topi. Essi frugano nella nostra immondizia alla ricerca di ricevute, bollette, estratti conto, documenti per collezionare informazioni personali utili a perpetrare il furto d’identità. Sebbene questa pratica di vecchia scuola possa essere superficialmente bollata come ridicola, i criminali moderni continuano ad attuarla perché essa funziona ancora oggi. Anche la tua cassetta della posta è a rischio qualora sia posizionata al riparo da occhi indiscreti e sia particolarmente violabile.

Come arginare il rischio del dumpster diving? Utilizzare un dispositivo distruggi documenti da utilizzare quando si vuole gettare via documenti contenenti informazioni personali e riservate: è possibile trovarne di decenti a prezzi modici. Quando ti vuoi disfare di un vecchio disco fisso, di una chiavetta USB guasta, di un cellulare, di uno smartphone o di qualsiasi altro dispositivo che abbia una memoria, metti in pratica una procedura di cancellazione sicura del supporto ed effettua un hard reset per cancellare la memoria, assicurandoti che non rimangano informazioni personali all’interno. Se devi smaltire supporti magnetici (floppy disk) o ottici (CD, DVD, BR) contenenti documentazione, meglio distruggerli fisicamente rendendoli inutilizzabili prima di cestinarli.

Infine, fai in modo che la tua cassetta postale sia a prova di prelievo non autorizzato e che sia posizionata in piena vista per scoraggiare eventuali ladri di corrispondenza.

6. Borseggio e scippo

Sebbene questo sia un tipo pressoché arcaico di crimine, gli esperti di furto d’identità sanno bene che è tuttora uno dei migliori modi per ottenere velocemente informazioni personali e riservate. Oltre a soldi facili, ovviamente!

Valgono le normali precauzioni di sicurezza personale come il porre attenzione a comportamenti sospetti o il conoscere a fondo le zone che si frequenta abitualmente, ma è possibile ridurre il rischio di un eventuale utilizzo fraudolento dei propri dati personali. A partire dal tenere sempre a portata di mano, non in borsa ma in un posto comunque facilmente e rapidamente accessibile, i numeri del servizio clienti del proprio istituto di credito o della società emittente delle proprie carte di pagamento.

Se hai uno smartphone o un tablet, installa una di quelle applicazioni che consentono di azzerarne la memoria da remoto in caso di furto o smarrimento, in modo da impedirne l’accesso ai criminali. Meglio evitare, infine, di imbottire il proprio portafogli con una miriade di foglietti con le più svariate informazioni riservate come numeri di conto corrente, codici PIN, ecc.

7. Malware e spyware

Una navigazione poco accorta, la scarsa attenzione nell’aprire messaggi e-mail sospetti o l’apertura superficiale di collegamenti di dubbia provenienza e destinazione possono aprire la strada all’intrusione nel tuo computer di programmi malevoli sviluppati appositamente per prelevare informazioni e registrare dati, credenziali, password, numeri di conto, indirizzi e comportamenti. Quanto catturato viene spedito in maniera silente via Internet al criminale che, con poco sforzo, entrerà in possesso dei dati necessari a rubare la tua identità.

Non più solo tramite i personal computer ma anche su cellulari, smartphone e tablet grazie allo scarso controllo sulla provenienza e il reale comportamento in background delle numerose applicazioni disponibili più o meno gratuitamente negli application store, in particolare in quelli non ufficiali. La diffusione del malware può avvenire anche mediante banner pubblicitari su siti accreditati ma che nascondono un sito di destinazione infetto o fasullo, false applicazioni e finti servizi di pulizia antivirus che vengono proposti mediante appositi popup di allarme infezione durante la navigazione sul web, nonché falsi aggiornamenti di sicurezza per prodotti diffusi come Flash Player o Adobe Acrobat.

In un mio recente articolo ho trattato proprio la protezione contro il malware: per attuare un livello di protezione adeguato devi adottare strumenti di protezione antivirus, antispyware e personal firewall su qualsiasi computer utilizzato, mantenendo questi prodotti costantemente e automaticamente aggiornati. Proteggi i tuoi dispositivi mobili con appositi prodotti anti malware e installa solo applicazioni di cui sei in grado di accertare la reale provenienza, fornendoti solo dagli application store ufficiali e sottoposti ad adeguati controlli di sicurezza.

8. False notifiche e richieste di documentazione

Proprio in questo periodo siamo alle prese con dichiarazioni dei redditi, IMU e numerose altre incombenze tributarie. Sono in crescente diffusione false richieste di integrazione di documentazione e informazioni da parte di finti organi tributari nazionali. Fuorviati dalla crescente digitalizzazione degli organi pubblici, alcuni soggetti potrebbero essere indotti a rispondere a messaggi e-mail o contatti telefonici che richiedono informazioni mancanti da integrare per il buon esito delle procedure tributarie. I messaggi, analogamente ai tradizionali messaggi di phishing, possono contenere link verso siti web contraffatti e fortemente somiglianti a quelli di enti pubblici e altri organi come Equitalia, Agenzia delle Entrate, CAF, ecc.

Va tenuto a mente che questi organi non contattano mai i cittadini via e-mail o telefonicamente, ma sempre in forma scritta via lettera. Ogni forma di contatto diversa da quest’ultima è un probabile tentativo di furto di informazioni. In caso di dubbio, non rispondere alle sollecitazioni e recarsi di persona presso la controparte per verificare direttamente eventuali problemi.

Un’altra possibile tecnica è costituita dalle false notifiche ricevute in forma cartacea per posta ordinaria ma recanti l’indicazione di inserire le proprie informazioni personali su un falso sito istituzionale di cui indicano l’indirizzo URL. In questo caso è opportuno verificare che l’indirizzo indicato corrisponda esattamente a quello del presunto organo istituzionale mittente della notifica.

9. Cambio di indirizzo civico

Una pratica molto efficace per dirottare informazioni personali e riservate come estratti conto, informazioni bancarie e fatture è l’innesco fraudolento di una pratica di variazione del tuo indirizzo civico. In questo caso, non solo la tua identità può essere agevolmente rubata, ma andrai incontro al mancato rispetto di importanti scadenze di pagamento e potrai perdere comunicazioni importanti.

Il cambio di indirizzo civico deve essere fatto in anagrafe civica, ma c’è un modo molto più semplice di dirottare la corrispondenza: l’efficiente servizio “Seguimi” di Poste Italiane. Funziona davvero bene, ma se attivato con l’inganno da parte di un criminale consente il dirottamento senza che la vittima possa accorgersene in tempi brevi.

Ho già raccomandato al punto 5 di distruggere documenti e supporti prima di sbarazzarsene; questa pratica contribuisce anche a non rendere particolarmente appetibile la tua cassetta della posta. Se ricevi una notifica di variazione di indirizzo civico che non hai richiesto, recati immediatamente presso l’anagrafe o presso il servizio postale per chiarire la situazione.

La variazione di indirizzo civico può essere richiesta da un criminale anche direttamente al tuo istituto di credito o alla società emittente della tua carta di pagamento. Se di colpo ti accorgi di non ricevere più comunicazioni dal tuo istituto di credito, dalla tua compagnia di assicurazioni o dal brand della tua carta di pagamento, contattali e chiariscine i motivi. Se non ricevi posta per nulla, tranne i bollettini parrocchiali recapitati a mano, allora fai una verifica anche presso Poste Italiane.

10. Intrusioni informatiche

Il volume sempre crescente di informazioni ricevute, trasmesse e archiviate in forma digitale da banche, società emittenti delle carte di pagamento, compagnie assicurative e altre terze parti, anche il numero delle vulnerabilità sfruttabili aumenta di conseguenza. L’intrusione subìta di recente da Global Payments e che ha colpito possessori di carte Visa e MasterCard è solo l’ultimo dei casi. In passato, banche, esercizi commerciali e anche servizi online come le piattaforme di gaming hanno subìto intrusioni. Non solo, la recente crescita del fenomeno degli hacktivisti come forma di protesta sociale ha coinvolto i dati di diverse persone come danno collaterale delle intrusioni effettuate nei sistemi di multinazionali e organi istituzionali.

Sfortunatamente, in questo particolare caso non c’è modo per te di arginare o prevenire questi eventi. La sicurezza dei dati personali di noi utenti, infatti, dipende fortemente dalle misure di sicurezza implementate dalle società con le quali intratteniamo rapporti. Come utente, puoi limitare gli eventuali danni diversificando le credenziali (username e password) utilizzate per i servizi più critici come servizi di online banking, online shopping, servizi di pagamento e via dicendo. Questo ti consentirà di evitare che l’intrusione nei sistemi di un’azienda non conduca ad altre intrusioni a tuo danno.

Come contrastare il social engineering

La contromisura più efficace per ostacolare il social engineering è studiarlo, aumentare il proprio grado di consapevolezza e discutere delle nuove tecniche e dei più recenti approcci con famigliari, amici, conoscenti, colleghi, partner e clienti. Se aumenti la tua comprensione del fenomeno e la consapevolezza delle possibili conseguenze, sarai agevolato nel riconoscerne le tecniche, le caratteristiche e i sintomi, evitando così di cadere nelle trappole che ti verranno tese.

Racconta delle tue esperienze negative senza vergogna e fornisci ai tuoi interlocutori tutti i dettagli (non le tue informazioni personali!) su come, quando e perché hai subìto un attacco di social engineering. Consulta con attenzione e un pizzico di diffidenza qualsiasi comunicazione ricevi da qualsiasi canale essa arrivi, anche i più alternativi e anche se il messaggio ti sembra familiare o personalmente rilevante. Non porre troppo affidamento sui meccanismi di sicurezza e dai sempre per scontato che una parte delle tecniche di social engineering funzionerà comunque, per quanto tu possa prestare la massima attenzione.

In ambito aziendale, il social engineering può essere ostacolato al meglio focalizzando gli sforzi su apposite sessioni di security awareness al personale, in particolare ai dipendenti che trattano informazioni critiche, nonché investendo principalmente sugli aspetti di segmentazione interna, separazione dei ruoli, privilegi minimi, need-to-know e misure di monitoraggio.

Ricordati che il social engineering funziona!

Ettore Guarnaccia