Pescatori di dati: e i pesci siamo noi!
Oggi voglio intrattenervi su un tema che sono certo coinvolga ciascuno di voi.
Sulla mail di mia moglie arrivano ogni giorno almeno una decina di messaggi in cui si parla di pacchi in giacenza, di bitcoin disponibili, e altro (ultimamente anche offerte di sex toys), con l’invito a fornire indicazioni per il ritiro (ovviamente dati personali sensibili).
Ve ne parlo perché quei pacchi o questi servizi non sono stati mai ordinati, e quindi chi invia le mail ha giocoforza in mente qualche finalità truffaldina.
Probabilmente già qualcuno di voi sta sbuffando in quanto pensa che io abbia intenzione di propinarvi l’ennesimo alert sui tentativi di truffa on line.
Già perché soprattutto coloro che sono più smaliziati nell’uso dei moderni strumenti informativi hanno spesso un atteggiamento di sufficienza nei confronti degli allarmi su questo fenomeno criminale, perché pensano sia destinato per lo più a colpire “vecchi rincoglioniti”.
In realtà non è così, perché Raffaele Panico, responsabile Fraud Management di Poste Italiane, che guida una struttura di 100 specialisti dedicati a sventare truffe informatiche anche utilizzando l’Intelligenza Artificiale, riferisce che “l’età media dei frodati oscilla tra i 30 e i 50 anni, ed in genere si tratta di laureati”.
Certo anche gli anziani sono vittime di truffatori, ma la fenomenologia è quasi sempre diversa, in quanto per lo più di tratta di raggiri tentati o realizzati usando il telefono (es. nipote che ha avuto un incidente con necessità immediata di soldi per l’avvocato….) o entrando in casa sotto la veste di operai o di in incaricati di società di servizi.
No, quello cui mi riferisco è il cosiddetto phishing, e si rivolge quasi esclusivamente a coloro che utilizzano abitualmente smartphone o Pc.
Di conseguenza nessuno in realtà può sentirsi immune, perché i criminali sono piuttosto preparati sul tema, e solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio cui si è registrati. In realtà il sito cui ci si collega è stato artatamente allestito identico a quello originale, e qualora l’utente inserisca senza troppo rifletterci i propri dati questi entreranno nella disponibilità dei malviventi.
Non è quindi un caso se le Banche inviano spesso alla clientela messaggi in cui ribadiscono che “non richiederanno mai password o altri dati sensibili per via informatica”, perché sanno bene che il fenomeno è in costante crescita.
Ma di cosa stiamo parlando in realtà?
Viene chiamato phishing il crimine che si sostanza in un inganno per le vittime, al fine di indurle a condividere informazioni sensibili quali password e numeri di carte di credito.
In altre parole si tratta di un attacco informatico nel quale viene inviata una e-mail malevola scritta appositamente con lo scopo di spingere la vittima a cadere in una trappola. Come accennato, l’intento è portare gli utenti a rivelare informazioni bancarie, credenziali di accesso, o altri dati sensibili.
Per i più ferrati in materia, si parla anche di “smishing”, che altro non è se non una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco, lanciando messaggi in cui in genere si invita l’utente a fare clic su un collegamento, chiamare un numero di telefono o contattare un indirizzo e-mail fornito dall’attaccante tramite messaggio SMS; comunque la vittima alla fine è sempre invitata a fornire i propri dati privati, spesso credenziali, ad altri siti web o servizi.
Perché si usa il termine phishing?
Per il semplice motivo che phishing deriva dal verbo inglese “to fish” che significa pescare. I pirati informatici infatti si comportano come dei pescatori: lanciano un amo con un’esca, nel mare del web, e attendono che qualcuno abbocchi, finendo nella loro trappola.
Altra storia è quella relativa all’uso di virus informatici, in quanto le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf .
Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, (c.d. “keylogging”); in questo caso i criminali mirano ad entrare in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.
A questo punto mi fermo, non solo perché spero di avervi dato l’idea dei rischi cui è esposto ciascuno di noi sul tema sicurezza, che fra l’altro si evolve continuamente dal punto di vista della sofisticazione dei raggiri posti in essere, ma anche perché non vorrei darvi l’impressione del “sapientone” di turno in grado di spiegarvi di tutto di più.
In realtà io sono una persana attempata, che usa abitualmente tutti i tipi di device, ma che non ha specifiche competenze informatiche, e che pertanto si trova nelle stessa situazione della Siora Maria e del Sior Bepi.
Di conseguenza è inutile che vada ad approfondire tutti i tipi di truffa (emai-phishing, spear phishing, whaling, smishing e vishing, angler phishing) ampiamente descritti in rete, perché alla fine probabilmente ci capirei poco, e di conseguenza sarebbe tempo perso.
Quindi, non avendo alcuna intenzione di ritirarmi in clausura abbandonando l’uso di smartphone e Pc, ho deciso da tempo di attenermi al principio che ci viene continuamente ripetuto dagli addetti ai lavori, “leggere attentamente quello che ci arriva, e non fare nulla se non si è super sicuri”, mettendo così in pratica l’unica grande verità in materia: quella che “il frodatore non può fare nulla senza di me, senza che io gli fornisca le informazioni utili per rubarmi i soldi”.
Come mi regolo in pratica?
Molto semplicemente in realtà.
Io non apro nessuna mail che mi chieda di fare qualcosa, o che contenga allegati che non aspetto (di conseguenza nessuna mail relativa ai pacchi in giacenza di mia moglie è mai stata aperta, e ho convinto anche lei a fare lo stesso), e per non sbagliare le cancello immediatamente.
Così come non rispondo ad alcun numero di telefono che non sia presente nella mia rubrica telefonica, e comunque che mi sia sconosciuto.
Relativamente alle Banche, che sono il principale obiettivo dei criminali, non fornisco mai i numeri delle carte di debito o credito (con qualche accezione ovviamente tipo se acquisto un biglietto aereo) né a maggior ragione Pin o password.
Anche perché è bene tenere a mente che la Cassazione, con sentenza n. 7214 del 13 marzo 2023 (quindi recentissima) ha stabilito che se un cliente di una Banca viene truffato con il phishing, la responsabilità è sua e non dell’Istituto di credito. Secondo i giudici supremi, infatti, la Banca aveva adottato un efficiente sistema di sicurezza informatica, e pertanto non poteva essere ritenuta responsabile della condotta incauta del cliente, che aveva fornito i suoi dati ai truffatori.
Si tratta di un orientamento giurisprudenziale innovativo, su cui da ora in avanti ciascuno di noi dovrà fare mente locale se vuole evitare danni economici.
Alla fin fine quello che ci viene richiesto è di essere molto diffidenti, e di non dare dati sensibili al primo che scrive.
Non mi pare poi così difficile!”
Umberto Baldo