Sommario
Il Vademecum sul furto di identità, consultabile sia sul sito dell’Associazione Bancaria Italiana che sul portale della Polizia Postale è stato pubblicato allo scopo di fornire indicazioni su come comportarsi per agire in sicurezza e su cosa fare nei casi di truffe.
Come proteggere la nostra identità
“Si tratta di pochi semplici accorgimenti e buone prassi, forniti con un linguaggio semplice e diretto per ridurre i fattori di vulnerabilità e i comportamenti potenzialmente rischiosi“. Così si legge nel comunicato emesso dalla Polizia Postale .
Ecco gli accorgimenti da seguire raccolti in 12 punti essenziali:
1. In caso di smarrimento o furto di documenti personali, recarsi immediatamente dalle Autorità di polizia preposte per sporgere denuncia. In caso di furto o smarrimento di carte di credito e/o di debito, dopo averne ordinato il blocco chiamando il numero messo a disposizione, la denuncia va comunicata anche alla propria banca.
2. Fare molta attenzione nello smaltimento della documentazione cartacea che contiene informazioni personali (es. estratti conto, utenze domestiche): è opportuno rendere illeggibili i dati sensibili riportati nei documenti prima di cestinarli.
3. Proteggere con cura le credenziali di accesso ai conti online e i codici delle carte di credito e/o di debito e tutti gli altri codici di accesso (es. lo SPID); se si sceglie di salvare questi dati sui propri dispositivi (es. computer e/o cellulare) assicurarsi che siano adeguatamente protetti (es. cifrati). Allo stesso modo occorre tenere sempre attentamente custodite le credenziali e i codici utili a disporre della propria firma digitale.
4. Salvaguardare le proprie carte di pagamento dotate di tecnologia “contactless” (ovvero quelle per cui non è richiesto l’inserimento nel POS per effettuare la transazione), con custodie schermate (rivestite in alluminio) per ridurre al minimo la possibilità di essere vittime di truffe che prevedano la lettura del chip [es. con comunicazione RFID (identificazione con la radiofrequenza) e NFC (identificazione attraverso comunicazione di prossimità)].
5. Cambiare frequentemente le credenziali di accesso (le password) per entrare nei conti online ed evitare di utilizzare password che potrebbero essere facilmente individuate dai frodatori (es. la data di nascita). In generale, una password, per avere un livello di sicurezza considerato adeguatamente tutelante, deve essere caratterizzata da lettere maiuscole e minuscole, numeri e caratteri speciali.
6. È importante imparare a riconoscere i messaggi autentici dai messaggi fraudolenti. Le banche: non chiedono mai, né tramite posta elettronica, né telefonicamente, né con messaggi sms, le credenziali di accesso al conto e i codici delle carte del cliente. Qualora si ricevano richieste di questo tipo, avvisare la propria banca per avere conferma della sua estraneità all’invio ed evitare di dare alcun riscontro alla richiesta ricevuta; non inviano mai e-mail contenenti link se non nell’ambito di un processo avviato dall’utente (es. modifica e-mail personale, aggiornamento documento di riconoscimento). Qualora il cliente ricevesse un messaggio con link dalla banca senza preventiva richiesta da parte sua, occorre avvisare la propria banca per avere conferma della sua estraneità all’invio ed evitare di dare alcun riscontro alla comunicazione ricevuta.
7. Ogni volta che si usa un computer pubblico per accedere al proprio conto online, occorre poi ricordarsi di chiudere la sessione (logout). Inoltre, è sempre preferibile digitare personalmente l’indirizzo online della propria banca e non cliccare su indirizzi già memorizzati. Se la connessione è pubblica, è maggiore il rischio che possibili malintenzionati sfruttino la connessione precedentemente aperta per carpire informazioni.
8. I messaggi fraudolenti contengono spesso link malevoli (attraverso cui il computer e/o cellulare vengono violati) o collegamenti per reindirizzare l’utente su siti clone (utilizzati per carpire informazioni personali). Per questo motivo, è fondamentale non cliccare mai su questi link.
9. Diffidare da presunti operatori che contattano le potenziali vittime affermando di aver bisogno di informazioni personali, bancarie o di credito, per verificare l’identità o per sapere dove inviare pacchi, denaro, vincite fasulle o documenti legati alla giustizia.
10. Nel caso il proprio cellulare non sia più in grado di effettuare/ricevere chiamate, verificarne i motivi contattando il proprio operatore telefonico: si potrebbe essere vittima di una frode effettuata tramite scambio della tua scheda telefonica (ovvero una truffa denominata Sim Swap).
11. Utilizzare con attenzione e prudenza i canali social e soprattutto non comunicare e non condividere mai attraverso questi canali dati personali o finanziari.
12. Scegliere un programma antivirus e mantenerlo sempre aggiornato, installare regolarmente gli aggiornamenti del sistema operativo utilizzato in modo da proteggere tutte le apparecchiature e i dispositivi in uso da infezioni da malware.
Contro il phishing, indispensabile l’awareness
Per puntare i riflettori ulteriormente sul fenomeno del phishing e su quanto sia fondamentale la consapevolezza come primo baluardo di difesa abbiamo chiesto un commento a Gaetano Scavo Cyber Security Specialist presso Exprivia che riportiamo di seguito:
“Le tecniche di phishing sono usate per impadronirsi dei dati personali degli utenti ingannando la vittima per farsi rilasciare informazioni personali, fingendosi un soggetto pubblico o privato affidabile. Le tecniche di phishing diventano ogni giorno più sofisticate e cercano costantemente di avvicinarsi il più possibile ai template utilizzati dai vari enti interessati.
Queste tecniche sono le più utilizzate per diffondere malware o realizzare truffe sfruttando le debolezze di della vittima.
I primi casi di attacchi di phishing così come li intendiamo oggi si sono verificati a partire dalla metà degli anni ’90. I criminali utilizzavano tipicamente messaggi istantanei o e-mail per indurre gli utenti a comunicare le proprie password e pertanto l’account poteva essere utilizzato, ad esempio, per inviare nuovo spam e svolgere altre attività simili.
Un aspetto chiaro è che il profilo del criminale è ormai cambiato. Mentre il criminale di qualche anno fa poteva essere probabilmente il classico adolescente che lanciava campagne di phishing per goliardia, mentre i criminali moderni, operano in gruppi ben organizzati con precise motivazioni, il più delle volte finanziarie.
Il vettore più utilizzato dalle tecniche di phishing sono le mail. Tra le tematiche più comunemente utilizzate vi è la comunicazione da parte di un istituto bancario.
Il cyber criminale, nonché, il mittente della mail si presenta come un’organizzazione affidabile, come gli istituti bancari. Il contenuto del messaggio comunica la presenza di un eventuale problema relativo al proprio account. Per risolverlo invita la vittima a cliccare su un link che riconduce ad un sito web falso controllato dal malintenzionato. La maggior parte delle volte è difficoltoso accorgersi della differenza dal sito reale, dato che la pagina riproduce esattamente il portale dell’istituto bancario. Così la vittima inserisce i propri dati personali consegnandoli al cyber criminale. Mediante questi siti è possibile infettare i propri dispositivi da qualsiasi tipo di malware.
La presenza di errori ortografici e grammaticali in una mail, sono il segnale evidente che l’email ricevuta non sia attendibile, tanto che gli utenti hanno iniziato a pensare erroneamente che qualsiasi sito/email per esser autentico non debba contenere errori di natura grammaticale e ortografica. Ovviamente i criminali sono in costante aggiornamento e molte delle nuove campagne di phishing sono organizzate in modo talmente preciso e professionale da trarre in inganno anche utenti esperti.
Le e-mail di phishing sono realizzate in modo puntuale e preciso, includendo vari meccanismi per provano ad eludere i filtri antispam e sistemi anti-phishing.
Negli ultimi anni si riscontra un forte escalation nell’utilizzo delle tecniche di phishing utilizzando i sistemi di messaggistica rapida messi a disposizione dalle applicazioni dei social media come Whatsapp, Telegram, Instagram, Messanger o i classici servizi SMS.
Il modus operandi è lo stesso utilizzato con le mail, il cyber criminale invia un messaggio alla vittima inducendola a cliccare su un link malevolo utilizzando le motivazioni più disparate come l’ottenimento di un buono o la violazione dell’account home banking.
Nelle tecniche più evolute viene inviato un link mascherato sotto forma di short link contenente alcuni riferimenti della vittima come il numero di telefono recuperato da precedenti data breach o recuperate dalla pubblicazione di annunci sui siti di compra/vendita online. Attraverso queste nuove tecniche più sofisticate la vittima viene contattata telefonicamente (dal sedicente istituto di credito) ed invitata ad effettuare una serie di controlli di sicurezza utilizzando le proprie credenziali online o addirittura a disinstallare e successivamente reinstallare l’applicazione di home banking dal proprio smartphone. Quest’ultima tecnica consente all’attaccante di operare un momentaneo switch dello smartphone e del numero autorizzato consentendo all’attaccante di procedere in autonomia ad autorizzare disposizioni bancarie online come un bonifico.
Un malintenzionato, dunque, prima di inviare una mail o qualsiasi messaggio alla vittima, studia il suo comportamento al fine di carpire informazioni utili per rendere il messaggio appropriato alle esigenze dell’utente. Questo studio è chiamato Social Engineering.
Oltre alla classica comunicazione da parte di un istituto bancario, l’oggetto dei messaggi di phishing riguardano tematiche più disparate che vengono introdotte anche in base agli avvenimenti che accadono nel mondo. Ad esempio, nei mesi scorsi la tematica più utilizzata era legata al coronavirus, oggi invece, è legata alla guerra in ucraina.
Nonostante vengano introdotti strumenti all’avanguardia o procedure restrittive per aumentare il livello di sicurezza informatica, essa non è assicurata, perché tutte queste soluzioni potrebbero essere rese nulle da un semplice click su un link malevolo. Possiamo affermare, quindi, che molte volte “l’anello debole della catena” sono gli stessi utenti.
Diviene, pertanto, indispensabile aumentare la consapevolezza (awareness) del rischio cyber negli utenti, in maniera da rafforzare il così detto “anello debole della catena”, e minimizzare i possibili vettori di attacco ed evitare che le informazioni personali possano in qualche modo compromettere la nostra sicurezza.“
Le collaborazioni
Il progetto “IL FURTO DI IDENTITÀ – Un vademecum per saperne di più” è stato realizzato dall’Associazione Bancaria Italiana in collaborazione con:
- OSSIF (il centro di ricerca dell’ABI sulla sicurezza anticrimine);
- CERTFin (CERT Finanziario Italiano);
- la Polizia Postale;
- le Associazioni dei Consumatori.
Hai subito una truffa online? Vuoi segnalarci un reato o un sito Internet illegale nel clear o nel dark web? Scrivi alla nostra redazione.
