In tema di creatività, i truffatori sono sicuramente al top. Nessun gruppo di professionisti può ambire allo stesso livello di inventiva rispetto a questa specifica tipologia di malfattori: non appena si pensa di aver trovato la giusta contromisura ad un tipo di frode, ecco che questi modificano tattiche e strategie, cambiano metodologie e strumenti, creando così un nuovo tipo di frode, migliorata, ottimizzata e più efficace delle precedenti. Sebbene resti rimarcabile, il loro operato è per certi versi ammirevole.
Tenere il passo di questi estrosi geni del crimine è difficilissimo, impegnativo ed è fondamentale tenersi sempre aggiornati per non perdere terreno. In questo campo, infatti, le contromisure di sicurezza sono spesso di tipo reattivo perché la prevenzione è veramente ardua da attuare considerando l’estrema imprevedibilità delle frodi e l’enorme campo d’azione dei criminali.
I criminali usano le più moderne tecnologie, attingendo a piene mani dai più recenti ritrovati della tecnica, spesso prima ancora che questi escano sul mercato. Studiano metodologie sofisticate per sfruttare al meglio gli strumenti tecnologici a proprio vantaggio, sono perfettamente in grado di dominare le tecnologie più avanzate e trovano sempre nuove strade per aggirare la legge e sfruttarne le inevitabili zone d’ombra. Se non altro questi artisti del crimine sono abili, brillanti ed ingegnosi.
Informarsi, dominare e usare la testa
Come possiamo metterci al riparo da sgradite sorprese e non cadere nelle numerose e raffinate trappole che essi ci tendono tutti i giorni? Semplice: se loro sono abili, noi dobbiamo esserlo molto di più. Oggi come oggi è indispensabile imparare a dominare al meglio le tecnologie che scegliamo di adottare, non più solo il personal computer o il notebook, ma anche gli smartphone, i tablet, i sistemi di pagamento moderni e le migliaia di applicazioni che tramite questi utilizziamo quotidianamente. Ecco perché non bisogna più pensare solo al classico computer ma ragionare in termini di “dispositivo”.
Più il dispositivo che utilizziamo è evoluto ed avanzato, più è probabile che esso sia già o diventi presto un veicolo d’attacco di questi infidi criminali. Più siamo in grado di dominarne il funzionamento, minori saranno le probabilità che un eventuale minaccia si traduca in un danno reale.
Quindi è indispensabile restare sempre informati e aggiornati sulle tecnologie che utilizziamo e sulle minacce che esse inevitabilmente si portano dietro comprese nel prezzo. Imparare a non avere fretta, a ponderare, ad approfondire, a conoscere e, infine, a dominare, tenendo sempre ben presente che qualsiasi opportunità che appaia “troppo bella per essere vera” probabilmente nasconde una minaccia reale.
Ecco allora un sintetico aggiornamento sulle più diffuse frodi che possiamo subire in qualsiasi momento, con qualche simpatica ed imprevedibile novità.
Malware
Ormai qualsiasi strumento informatico ha il suo bel corredo di malware pronto ad intrufolarsi nel sistema in diverse forme e modalità per sottrarre informazioni personali a scopo di furto d’identità, oppure informazioni aziendali critiche a scopo di ulteriori intrusioni e frodi. Nonostante diverse credenze popolari, oggi nemmeno i sistemi Mac e Linux sono più al riparo dal malware: spyware, trojan horse, keylogger o rootkit, qualunque sia la tipologia del malware, lo scopo è sempre lo stesso, cioè rubare informazioni a scopo di frode.
Come proteggersi? Proteggendo adeguatamente il proprio dispositivo, evitando di archiviare automaticamente le proprie credenziali di accesso nel browser, crittografando i documenti che contengono dati critici e imparando a riconoscere eventuali comportamenti anomali del proprio dispositivo che possano nascondere intrusioni ed infezioni indesiderate.
Minacce globali
Una nutrita serie di minacce vengono definite globali poiché vengono introdotte e distribuite nell’ambiente senza un particolare criterio, quasi come belve sguinzagliate nella savana alla ricerca delle prede più deboli, sprovvedute e indifese. In questa categoria rientrano tecniche più o meno evolute di circonvenzione per indurre le vittime ad accedere a siti web contraffatti e malevoli, a sottoscrivere servizi con costi nascosti o addirittura ad inviare direttamente denaro a terze parti.
Le minacce globali più diffuse sono:
- Il phishing, ovvero la ricezione di falsi messaggi apparentemente inviati da istituti bancari, servizi postali, corrieri espressi, sistemi di pagamento, brand di carte di credito o, nei casi più insidiosi, da contatti personali come conoscenti, amici e parenti, con l’obiettivo di attrarre l’utente su siti web fasulli ma del tutto simili a quelli istituzionali e sottrarne le credenziali di accesso. Da tempo il phishing non sfrutta più solo la posta elettronica, bensì tutti i canali di comunicazione disponibili come, ad esempi, i sistemi di instant messaging (Skype, Messenger, ICQ, ecc.), i social network (Facebook, Twitter, LinkedIn, Google+, ecc.) e addirittura semplici messaggi SMS (da cui il nuovo termine “smishing”).
- Le applicazioni attraenti, una vera e propria piaga che affligge in particolare Facebook e gli application store di Apple iOS e Google Android. Scopri chi ha guardato il tuo profilo, guarda questo video esilarante (o imbarazzante, scabroso, interessante, ecc.), ottieni un buono acquisto cliccando qui, scopri chi ti ama, scopri cosa dicono di te i tuoi amici, attiva il “dislike button”: se hai concesso l’accesso ad una di queste tipologie di applicazioni su Facebook forse è il caso di fare qualche verifica sul proprio account.
- Le richieste di denaro provenienti da sedicenti soggetti in difficoltà nei più disparati posti del mondo, sistemi di profitto facile via Internet, varie tipologie di catene di Sant’Antonio e offerte di guadagno lavorando da casa. Un caso particolare riguarda la richiesta di soldi da parte dell’ormai famoso principe nigeriano Kufour Otumfuo, successore del compianto re Otumfuo Opoku Ware II: la particolarità sta nel fatto che il messaggio e-mail è volutamente rozzo e palesemente fasullo per consentire di colpire settorialmente gli obiettivi più creduloni e vulnerabili, attuando in autonomia una selezione appositamente studiata per evitare inutili perdite di tempo.
- Gli URL nascosti e accorciati, tanto in voga su Twitter per esigenze di spazio ma ormai ampiamente diffusi anche su numerosi social network, sui forum, sui blog e sui siti web in genere. I servizi di accorciamento degli URL, cosiddetti “URL shortener”, nascondono un URL completo dietro un nuovo URL più corto per occupare meno caratteri e facilitarne la condivisione, ma rendono virtualmente impossibile capire la destinazione finale senza cliccarci su. Grazie a questa fondamentale caratteristica, questi servizi vengono oggi diffusamente utilizzati per nascondere URL malevoli che portano a siti web contraffatti a scopo di frode.
Come proteggersi? Tenendosi aggiornati sulle nuove tecniche di frode, ovviamente, ma soprattutto usando la testa. Nessun ente legittimo vi contatterà mai via mail chiedendovi di inserire le vostre credenziali di accesso, il vostro numero di cellulare o i dati della vostra carta di credito. Se la vostra banca deciderà di chiudere il vostro conto corrente vi avviserà telefonicamente o per posta ordinaria e non inviandovi un messaggio di posta elettronica.
Non esistono applicazioni in grado di fornirvi funzionalità non previste in origine dal vostro social network e qualsiasi applicazione vi richieda di inserire il vostro numero di cellulare o di carta di credito nasconde certamente sgradite sorprese. Non esistono principi o altri soggetti che scrivono e-mail a tutto il mondo chiedendo espressamente aiuti economici, né ragazze dell’est molto attraenti in difficoltà, né forze dell’ordine che chiedono di versare somme a fronte di fantomatiche ingiunzioni o improvvisi sequestri, né lotterie dalla vincita assicurata. Qualsiasi richiesta di denaro non sollecitata nasconde una frode, potete scommetterci.
Non cliccate su collegamenti contenuti in messaggi e-mail, messaggi sui social network o messaggi privati per accedere a servizi che richiedono un’autenticazione o l’inserimento di dati personali. Prima di effettuare l’autenticazione o un pagamento online verificate sempre che il sito sia protetto da una connessione cifrata HTTPS con un certificato digitale SSL valido. Non seguite i link contenuti in messaggi diretti ricevuti via Facebook o su Twitter, in particolare utilizzando le funzionalità di menzione e condivisione.
Non fatevi prendere da assurdi timori, non abbiate fretta, pensateci sempre due volte prima di inviare denaro a chicchessia e non divulgate informazioni personali con leggerezza: questi errori si pagano caro! Se avete il sospetto di essere caduti in qualche tranello, per almeno due settimane controllate giornalmente i movimenti dei vostri conti correnti e delle vostre carte di credito/debito in modo da rilevare tempestivamente qualsiasi prelievo non autorizzato.
Attacchi mirati
Infine ecco la categoria che comprende le minacce più pericolose poiché dirette ad un obiettivo preciso, spesso utilizzando tecniche avanzate e molto sofisticate, studiate a tavolino e, particolare da non trascurare, adeguatamente finanziate. Se siete in possesso di informazioni critiche, segreti industriali, commerciali o militari, dati finanziari, conti correnti e sistemi di pagamento con grande disponibilità, allora potreste essere un potenziale bersaglio per questo tipo di minacce.
Il dramma, in questo caso, è che c’è ben poco da fare per contrastarle se non attuare con estrema accortezza i suggerimenti di cui sopra e, ancora più importante in questo caso, usare la testa. Ma vediamo prima quali sono le tecniche più utilizzate:
- Il social engineering, ovvero la coercizione diretta della vittima con contatto diretto, telefonico oppure per via informatica, facendo leva su stati di panico, paura e sorpresa appositamente indotti con studiati metodi di intimidazione. Un caso in voga oggi riguarda telefonate ricevute da un fantomatico servizio di assistenza, ad esempio di Microsoft o di Apple, che ci informa di aver rilevato un’infezione sul nostro personal computer e richiede di poter accedere in controllo remoto al nostro sistema per effettuare la necessaria pulizia, mentre in realtà ne approfitta per installare malware residente e sottrarre le nostre informazioni personali.
- La sottrazione di dati e credenziali per via informatica con mediante tecniche di sniffing, brute force, dictionary attack o crittoanalisi di file cifrati, in particolare su reti locali condivise e soprattutto su protocolli di posta elettronica.
- Lo skimming, ovvero la cattura dei dati direttamente dalla carta di credito/debito mediante appositi strumenti di piccole dimensioni e di difficile individuazione, utilizzati direttamente a mano oppure applicati a terminali POS o sportelli automatici Bancomat/ATM.
- Il dumpster diving, ovvero la perlustrazione della spazzatura della vittima alla ricerca di documentazione interessante come fatture, messaggi e-mail stampati, estratti conto, dati finanziari e personali.
- Il mail fraud, ovvero l’accesso fisico alla nostra cassetta postale alla ricerca di documentazione interessante, oppure il dirottamento della nostra posta ad un nuovo indirizzo civico a nostra insaputa.
- L’invasione dello spazio personale, ovvero sottrazione del codice PIN mediante osservazione diretta (metodo “shoulder surfing”), copia di informazioni personali utilizzando dispositivi portatili con fotocamera, copia fronte/retro della nostra carta di credito o dei nostri documenti personali, copia del nostro blocchetto di assegni.
Come proteggersi? Usando la massima attenzione, senza mai perdere di vista i nostri dati e i mezzi di pagamento, assicurandosi di non essere spiati durante fasi critiche di prelievo, pagamento o comunicazione di informazioni personali. Se ricevete una telefonata non sollecitata da un presunto ufficiale della Polizia, della Guardia di Finanza o da un sedicente funzionario dell’Agenzia delle Entrate o di Equitalia, mantenete la calma, non agitatevi bensì insospettitevi e chiedete che qualsiasi ingiunzione o debito vi venga notificato per iscritto a termini di legge.
Se vi vengono richieste informazioni personali o riservate in maniera molto diretta e con fare sostenuto, non cedete all’intimidazione e prendetevi tutto il tempo necessario per verificare la veridicità di quanto dichiarato. Eventualmente fatevi dare un numero diretto al quale richiamare l’interlocutore e verificate che appartenga effettivamente all’ente dichiarato, oppure recatevi di persona al più vicino ufficio per accertare direttamente la questione.
Trattate con accortezza i vostri documenti personali e le vostre informazioni riservate. Se dovete disfarvi di documenti vecchi contenenti informazioni sensibili, prima distruggeteli con un apposito distruggi documenti oppure bruciateli in sicurezza. E se non ricevete posta da almeno due settimane, insospettitevi e verificatene le cause.
Ettore Guarnaccia
Fonti utili:
- 5 New Scams You Need to Know About Now
- Top 10 tips to avoid consumer scams