Home / Posts Tagged "phishing"

Gli episodi di truffe in rete sono sempre più originali e compiuti con astuzia. È notizia di questi giorni che una 37enne di Preganziol si è ritrovata vittima di una truffa online che le ha fatto rinnovare per 500 euro la polizza RC auto, salvo poi scoprire che quella polizza assicurativa era solo carta straccia.

Truffe di questo tipo perpetrate sul web sono sempre più numerose; più pericolose sono le frodi informatiche perpetrate da cyber criminali, per esempio in materia di phishing. Come riportato dal sito truffa.net, proprio il phishing o furto di identità rappresenta il tipo di raggiro più diffuso in rete.
Vediamo allora cos’è il phishing e come proteggersi.

 

Come riconoscere un attacco di phishing

Solitamente la procedura ha sempre origine da una mail ricalcata graficamente e nelle informazioni a una plausibile mail istituzionale, come potrebbe essere quella ricevuta dalla propria banca. L’imitazione degli elementi, come ad esempio il logo della banca, è talmente minuziosa che l’utente viene facilmente ingannato e portato a credere che si tratti di una mail autentica e realmente inviata dal proprio istituto di credito.

In questo modo la mail viene aperta senza troppi indugi e l’utente invitato a compiere un’azione cliccando sul link inserito all’interno del testo.

Una volta cliccato, questo link conduce l’ignaro utente su un sito-clone fasullo in cui alla vittima viene chiesto di accedere inserendo le proprie informazioni riservate (numero carta, password di accesso, codici segreti). E così i dati sensibili vengono rubati e i criminali possono accedere al conto bancario della vittima.

Truffa.net ha realizzato una infografica chiara e facilmente comprensibile anche dagli utenti meno esperti, che riportiamo qui sotto.

 

 

Va precisato inoltre che l’Italia è uno dei Paesi più colpiti dalle frodi a mezzo phishing e che oggigiorno sempre più truffatori usano anche WhatsApp, Messenger e altri strumenti di messaggistica istantanea per mettere a segno le loro truffe informatiche. Serve dunque essere cauti a 360°, perché una volta sottratti i dati, possono verificarsi danni economici non solo spiacevoli, ma anche ingenti.

 

 

Nel mirino del phishing anche l’Agenzia delle Entrate

Lo scorso settembre anche il sito istituzionale dell’Agenzia delle Entrate è stato presa di mira dai criminali informatici, subendo un tentativo di phishing a danno dei suoi utenti, i quali hanno ricevuto delle mail che sembrano realmente riconducibili all’ente.

 

Come riportato sul sito www.corrierecomunicazioni.it, l’Agenzia delle Entrate ha fatto sapere di essere estranea a tali messaggi e ha raccomandato ai propri contribuenti di verificare sempre attentamente i messaggi ricevuti. Nel caso in cui questi appaiano sospetti, soprattutto se i mittenti sono sconosciuti, è bene cestinarli subito e comunque non aprire gli allegati o seguire i link presenti al loro interno. Anche perché, fa sapere l’Agenzia, non vengono mai inviate per posta elettronica comunicazioni contenenti dati personali dei contribuenti: le informazioni personali sono consultabili esclusivamente nel Cassetto fiscale, che è accessibile tramite l’area riservata sul sito stesso dell’Agenzia.

 

 

Come proteggersi dal phishing

Secondo i dati diffusi dall’Interpol lo scorso agosto, il boom di attacchi informatici è coinciso con la pandemia da Covid-19 in atto e segna, in particolare, un aumento nell’uso delle tecniche di phishing. Se da un lato la pandemia ha messo a disposizione dei pirati informatici un tema, quello del Coronavirus, particolarmente adatto a suscitare allarme o timore in chi riceve i messaggi, dall’altro anche il lockdown della scorsa primavera e le più recenti restrizioni agli spostamenti in questa seconda ondata hanno portato sempre più persone a utilizzare gli strumenti digitali o a intensificarne l’uso rispetto al passato.

 

Il fatto che il phishing sia diventato sempre più sofisticato non significa tuttavia che sia impossibile da scovare. Il consiglio migliore per difendersi da questo fenomeno resta sempre e comunque la cautela e, quindi, diffidare dei messaggi che chiedono di fornire informazioni personali. Nessuna istituzione chiederà mai infatti questo tipo di informazioni per telefono o via mail.

 

 

“Sono vittima di phishing”: cosa fare dopo?

Naturalmente il phishing è un reato e non appena si scopre o si sospetta di esserne stati vittima, è raccomandabile contattare con tempestività la propria banca e far bloccare il conto corrente e riportare altrettanto immediatamente anche alla Polizia Postale la segnalazione di phishing e sporgere denuncia dell’accaduto (o recandosi presso una sede fisica oppure per via telematica utilizzando questo modulo).

 

Proprio non molto tempo fa abbiamo pubblicato nel nostro quotidiano un articolo contenente i consigli dalla Polizia Postale per prevenire le truffe in rete, che vi invitiamo a rileggere.

L’immediatezza in questi casi è un aspetto essenziale per ridurre al minimo le spiacevoli conseguenze che potrebbero esserci, transazioni indesiderate in primis.

 

Fonte e Photo Credits: https://www.truffa.net/phishing/

Riceviamo e volentieri pubblichiamo l’articolo a firma di Francesco Pagano (in foto), Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale, che parla di truffe e fenomeni di phishing

 

Il fenomeno delle truffe online e del furto di identità su Internet sta crescendo in maniera esponenziale. Secondo i dati diffusi
dall’Interpol lo scorso agosto, il boom di attacchi informatici è coinciso con la pandemia da Covid-19 e segna, in particolare, un aumento nell’uso delle tecniche phishing.

 

Il phishing è una tipologia di attacco estremamente subdola e che sfrutta comunicazioni via e-mail (ma anche su social network e
piattaforme di chat) per attirare le vittime su siti malevoli o progettati per rubare le credenziali di accesso ai servizi Web. La
strategia dei cyber criminali prevede l’uso di messaggi di posta elettronica “confezionati” in modo da sembrare perfettamente
legittimi, in cui gli hacker impersonano aziende, organizzazioni o istituti bancari.

 

Il messaggio, spesso realizzato in maniera estremamente convincente, ha l’obiettivo di indurre il destinatario a fare click sul
collegamento che lo dirotta sulla pagina controllata dai pirati. Per centrare l‘obiettivo, i truffatori utilizzano tecniche di ingegneria
sociale, cioè stratagemmi che fanno leva sullo stato d’animo della potenziale vittima. Di solito queste strategie sfruttano due diversi fattori: l’entusiasmo e la paura.

 

Nel primo caso vengono utilizzati messaggi che promettono regali, premi od offerte speciali dedicate al destinatario del messaggio. Nel secondo, le e-mail prospettano invece il rischio di dover pagare multe o fanno riferimento a richieste di pagamento, fatture o scadenze ineludibili.

L’obiettivo è lo stesso: provocare una reazione nella vittima che la induca ad agire impulsivamente e fare click sul collegamento.

 

In alcuni casi, questo porta a una pagina Web che contiene malware, in altri a un sito che a prima vista appare essere quello dell’azienda od organizzazione impersonata dai pirati informatici. In questo secondo caso, l’obiettivo dei cyber criminali è quello di indurre la loro vittima a inserire le credenziali di accesso al servizio (per esempio quelle del servizio di home banking online) per potergliele rubare.

 

Non è nulla di nuovo. Chi utilizza abitualmente servizi online ha ormai imparato a riconoscere (ed evitare) questo tipo di attacchi. La pandemia da Covid-19, però, ha inciso sul fenomeno in due modi. Da un lato ha messo a disposizione dei pirati informatici un tema, quello del Coronavirus, particolarmente adatto a suscitare paura o allarme in chi riceve i messaggi. Dall’altro, il lockdown di primavera e le restrizioni ai movimenti in questa seconda ondata hanno portato molte persone a utilizzare per la prima volta gli strumenti digitali o a intensificarne l’uso rispetto al passato.

 

Il risultato è che i cyber criminali possono adesso raggiungere una platea di potenziali vittime estremamente vulnerabili, che non hanno la malizia per riconoscere i messaggi sospetti e poca esperienza nell’utilizzo di Internet. Gli strumenti di protezione come firewall e software antivirus possono aiutare ad arginare il fenomeno, ma non possono garantire una protezione assoluta da questo tipo di attacchi, che spesso non usano codice malevolo ma soltanto stratagemmi che puntano a ingannare gli ignari utenti.

 

Ciò di cui abbiamo disperatamente bisogno è piuttosto un processo di alfabetizzazione rivolto a tutta la popolazione, che consenta di acquisire quelle capacità critiche indispensabili per disinnescare gli attacchi dei pirati informatici. Qualcosa che, probabilmente, accadrà in maniera naturale in seguito all’impennata nella digitalizzazione che stiamo attraversando, ma che senza un intervento che punti alla creazione di una reale “cultura della sicurezza” rischia di essere troppo lenta e lasciare una quantità incredibile di macerie (digitali) sulla sua strada.

Internet può essere una formidabile riserva di informazioni, intrattenimento, comunicazione con persone conosciute e non. Ma può anche essere un luogo pieno di minacce, se ci si avventura al suo interno senza proteggersi adeguatamente. Infatti in rete si aggirano anche moltissimi truffatori a caccia del nostro denaro e dei nostri dati.

 

Ecco perché abbiamo deciso di raccogliere questi 5 consigli, che sono la base per muoversi online senza rischi (o quantomeno limitandoli moltissimo).

 

L’importanza dell’antivirus

Proprio come quando si esce di casa in inverno bisogna mettersi dei vestiti pesanti per evitare di ammalarsi, così quando navighiamo su internet dobbiamo dotare il nostro computer, tablet o smartphone di una, per così dire, sciarpa virtuale: l’anti-virus e/o anti-malware. Questi software, che possono essere gratuiti o a pagamento, riconoscono i programmi malevoli e sono in grado di neutralizzarli prima che danneggino i nostri dispositivi o rubino informazioni sensibili.

 

Usare la rete senza queste protezioni equivale a uscire in pieno inverno in bikini: il raffreddore è assicurato, e così anche il virus informatico. Alcuni esempi di anti-virus e anti-malware molto noti ed efficaci sono Avast, Malwarebytes, Kaspersky, Norton, McAfee.

 

 

Occhio al phishing

La realtà però è che proteggere i nostri dispositivi da software dannosi non è sufficiente. Spessissimo infatti i nostri dati e informazioni sensibili non ci vengono tolti tramite sofisticati strumenti digitali, ma ci vengono semplicemente chiesti, e noi li forniamo. Si chiama “phishing” ed è una pratica che consiste nell’ingannare un utente della rete perché consegni i dati, ad esempio, della carta di credito, o altre informazioni delicate.

 

Il phishing può avvenire via e-mail: ad esempio si riceve una mail della banca che dice che è necessario confermare i dettagli della propria carta di credito; o una mail da un amico che afferma di avere bisogno di soldi e di inviarglieli a un certo conto corrente. Ma sempre più truffatori oggi usano anche WhatsApp, Messenger e altri strumenti di messaggistica istantanea. Non comunicate mai i vostri dati sensibili in risposta a un messaggio o a una mail, e non fate bonifici senza aver parlato di persona con chi ve li chiede.

 

 

Acquisti online sì, ma in sicurezza

Negli ultimi anni l’e-commerce, cioè la pratica di fare acquisti online di oggetti o servizi, si è sviluppata moltissimo. Ma il problema è che quando le transazioni di denaro si svolgono tramite siti poco sicuri, i dati sensibili possono essere esposti a occhi malintenzionati. Per proteggersi da questa evenienza bisogna agire in due direzioni.

 

La prima è quella di rivolgersi solo a siti affidabili. Facciamo l’esempio di un settore particolarmente delicato, quello del gioco online, in cui esistono siti affidabili ma altri che lo sono molto meno. Bisogna scegliere solo casino online sicuri, selezionando quelli che sono autorizzati e regolamentati dalle autorità italiane (l’ADM, ex AAMS).

 

La seconda direzione da prendere è quella di utilizzare dei metodi di pagamento che proteggano i propri dati e i propri fondi, come ad esempio gli eWallet. Il più famoso è Paypal, e si tratta di portafogli virtuali che si interpongono tra i dati personali dell’utente e il sito da cui acquista. Altro metodo di pagamento sicuro sono le carte prepagate, come la Postepay.

 

 

Condividere con parsimonia

Su internet possiamo entrare in contatto con moltissime persone, e si tratta di uno strumento fantastico per fare nuove conoscenze. Ma attenzione alle informazioni e alle immagini che scegliamo di condividere. La regola è di non inviare mai via internet immagini che potremmo vedere cancellate in futuro o che potrebbero mettere in pericolo la nostra reputazione. Non solo perché la persona con cui siamo in contatto potrebbe usarle a scopi criminali (ad esempio per ricattarci) ma perché i suoi dispositivi (così come la piattaforma attraverso cui l’immagine è stata inviata) potrebbero essere hackerati.

 

 

Attenzione ai siti di streaming

Guardare film e serie tv in rete è una delle attività più divertenti che si possono fare online. E se crescono sempre di più gli utenti delle piattaforme a pagamento, come Netflix, aumentano anche coloro che si affidano ai siti di streaming gratuiti pirata. Apparentemente, questi siti offrono una quantità immensa di video senza pagare nulla, ma in realtà possono essere un tramite per virus, malware e altri software dannosi.

 

Usare internet in sicurezza dipende in gran parte da voi. Gli strumenti per proteggervi dai cybercriminali esistono, quindi fatene buon uso!

In uno scenario nel quale la continua evoluzione tecnologica influenza ogni azione del nostro vivere quotidiano, lo sforzo della Polizia Postale e delle Comunicazioni nel corso dell’estate 2019 e in particolare del Compartimento Polizia Postale “VENETO” è stato costantemente indirizzato alla prevenzione e al contrasto della criminalità informatica in generale.

 

 

Contrasto alla pedopornografia

In particolare vi è una continua e assidua attività di monitoraggio contro il fenomeno della pedopornografia sulla rete, rilevandosi il persistere di casi di detenzione e diffusione di materiale pedopornografico tramite internet, oltre al fenomeno dell’adescamento di minori online. Numerose infatti sono state le attività di perquisizione delegate dalla Autorità Giudiziaria lagunare per contrastare il triste fenomeno.

 

Si registra, inoltre, un aumento di denunce e segnalazioni di casi di violenza in rete riconducibili al revenge porn, alla sex estortion, alla diffamazione on-line, alle c.d. “truffe sentimentali”, molestie e sostituzione di persona. 

 

Contrasto alle truffe via mail

Non viene meno il fenomeno truffaldino delle mail estorsive, il quale non rappresenta un pericolo reale in quanto il truffatore che nella mail asserisce di essere in possesso di un video che ritrae la vittima in atteggiamenti sexy, chiedendo in cambio l’invio di Bitcoin, in realtà sfrutta lo shock emotivo ingenerato nel malcapitato che crede che il suo computer sia stato violato. Il malfattore, non dispone di alcun video della vittima né tantomeno è riuscito ad introdursi nel computer delle vittime, ma ha solamente la disponibilità di vecchie credenziali di accesso a noti portali, che sono state illecitamente sottratte da abili hacker ai portali medesimi. Proprio in questi giorni si registrano numerose segnalazioni del fenomeno. I consigli sono di non dar corso alle richieste contenute nelle mail, cambiare la password del profilo che si ritiene violato e procedere ad una scansione dei dispositivi con un buon antivirus.  

Da segnalare, inoltre, il riscontro di alcuni casi della truffa via mail di un sedicente amico che sostituendosi a reali contatti presenti nella rubrica del malcapitato, dice di trovarsi in grande difficoltà all’estero dopo aver subito il furto del portafoglio e dei documenti. In tali casi la persona avanza una richiesta di denaro alla controparte, raccomandando discrezione per non far preoccupare parenti e amici, con la promessa di restituire la somma non appena rientrato in Italia. Fortunatamente nella maggior parte dei casi si tratta di mail scritte in italiano sgrammaticato e quindi difficilmente in grado di trarre realmente in inganno la vittima; in ogni caso il consiglio della Polizia Postale è sempre quello di diffidare da tali richieste di aiuto e in caso di dubbio di contattare direttamente l’interessato.

 

 

Contrasto ai tentativi di phishing

Con riferimento al financial cybercrime, le sempre più evolute tecniche di hackeraggio, attraverso l’utilizzo di malware inoculati mediante tecniche di phishing, ampliano a dismisura i soggetti attaccati, soprattutto nell’ambito dei rapporti commerciali. In tale contesto, si riscontra il verificarsi, anche in ambito locale, del fenomeno denominato BEC fraud (business e-mail compromise) o “man in the middle”, in cui l’attaccante, dopo aver guadagnato informazioni relative alle attività dell’azienda (come ad esempio il pagamento di fatture a certi fornitori) fa pervenire alla vittima una email confezionata ad arte in modo da dirottare il pagamento verso conti correnti nella disponibilità dei malviventi. 

 

In questi casi si rivela fondamentale la tempestività della denuncia, dal momento che vi può essere la possibilità di recuperare le somme illecitamente sottratte all’azienda grazie all’uso di piattaforme in collaborazione con il mondo bancario. Un accorgimento da adottare per le aziende è quindi quello di porre una particolare attenzione sulle caselle di posta elettronica e sulle email contenenti allegati, privilegiando il rapporto diretto anche telefonico con l’interlocutore per accertare la veridicità delle fatture allegate. L’attività di contrasto del Compatimento Polpost VENETO ha permesso recentemente il recupero complessivo di circa un milione di euro che i malfattori hanno tentato di sottrarre a realtà imprenditoriali venete. Il risultato è il frutto della ottima collaborazione anche con gli istituti di credito sui cui conti correnti approdano le somme illecitamente deviate.

 

Contrasto alle truffe di denaro

Continua altresì il fenomeno delle truffe effettuate cd. “inverse” mediante la ricarica delle carte di credito prepagate in seguito alla pubblicazione di un annuncio di vendita da parte della vittima. In particolare, a fronte di un annuncio di vendita su una piattaforma online, la vittima viene contattata dal presunto acquirente il quale propone il pagamento tramite la ricarica della carta di credito del venditore stesso mentre in realtà viene ricaricata quella del truffatore presunto acquirente. A tal proposito, si raccomanda di non cedere a proposte di pagamento non conosciute che prevedono l’asserita ricarica della carta bancomat, dal momento che attraverso tale strumento è possibile unicamente effettuare pagamenti e non ricevere ricariche di contante.

 

Le raccomandazioni della Polizia Postale

In periodo di vacanze estive sembra doverosa la raccomandazione di non pubblicare sui social foto che facciano capire agli utenti della rete di trovarsi in luoghi lontani – magari per un arco temporale piuttosto lungo – in quanto è evidente che in questo modo si forniscono informazioni relative all’assenza dalle proprie abitazioni ad eventuali malintenzionati.

 

Attenzione al periodo estivo è stata riservata dal Servizio Polizia Postale e delle Comunicazioni, che ha disposto a livello nazionale nel decorso mese di luglio l’operazione denominata “Action Day” relativa al contrasto dell’abusivismo commerciale online. In tale contesto il Compartimento Polizia Postale e delle Comunicazioni del Friuli Venezia Giulia dopo un attento monitoraggio del fenomeno ha ottenuto dalla competente A.G. il sequestro preventivo, con conseguente oscuramento, di due siti internet truffaldini denominati “marashopping” e “prezzipazzi” che praticando prezzi estremamente bassi dopo il pagamento non inviavano la merce acquistata.

 

Lotta ai falsi operatori telefonici

Proseguendo nella disamina dei fenomeni di più stretta attualità, si segnala ancora la presenza di falsi operatori telefonici i quali, con la scusa di offrire delle condizioni di contratto a condizioni più convenienti, riescono ad ottenere dagli utenti, dopo un primo contatto telefonico, l’invio dei documenti di identità tramite Whatsapp. È evidente che in questo caso i documenti inviati possono con facilità essere usati per commettere degli illeciti e pertanto la Polizia Postale ne sconsiglia sempre l’invio.

 

Da ultimo, si evidenzia il riscontro nei giorni scorsi, a livello nazionale, di alcuni casi di singolari convocazioni provenienti da diversi Enti pubblici, rivelatesi poi inesistenti, che farebbero sorgere quantomeno il sospetto che ignoti abbiano cercato di far allontanare dalla propria abitazione alcuni utenti – perlopiù persone anziane e facoltose – al fine di avere a disposizione un discreto arco temporale di tempo per porre in essere qualche atto illecito. Le false convocazioni sono state disconosciute da vari Enti coinvolti, e grazie all’attività di prevenzione messa in atto, gli utenti non hanno aderito all’invito in quanto dopo aver ricontattato il vero ufficio, sono venuti a conoscenza dell’inesistenza della convocazione.

RIMANI SEMPRE AGGIORNATO SULLE ULTIME NEWS
ISCRIVITI ALLA NOSTRA NEWSLETTER!

Notizie da Venezia, Treviso, Mogliano e dintorni