Come non farsi truffare online? Consigli utili per computer e smartphone

Chiara De Carli

13/06/2022

13/06/2022 - 12:48

condividi
Facebook
twitter whatsapp

Phishing, vishing, romance scam. Gli scammer escogitano sempre più nuovi mezzi per sottrarre i nostri dati: come comportarsi per prevenire le truffe?

Come non farsi truffare online? Consigli utili per computer e smartphone

Secondo l’Ufficio federale di statistica, solo nel 2021, i cybercrimini sono aumentati del 24% per 30.351 casi. In modo particolare, quando si parla di cybertruffa, la polizia ha identificato due casistiche dominanti: quelle che vanno ad approfittarsi della prassi in ascesa degli acquisti online, con 6.884 acquirenti che non hanno ricevuto la merce pagata, e quelli che usurpano l’identità e sistemi di pagamento personale, altri 6.670 casi. Insieme, fanno 13.554 reati, oltre il 40% del totale.
Le truffe online sono qualcosa da cui bisogna imparare a difendersi, perché basta un momento di disattenzione per cadere nella trappola degli hacker. Pishing, smishing, vishing: ognuno di noi pensa di esserne al riparo, ma quanto ne sappiamo veramente delle minacce che si insidiano nel web, mentre usiamo un servizio digitale?

Phishing: come fare?

Come riporta Dario Colombo su Money.it, tra i trucchi più antichi impiegati dagli hacker c’è il phishing. Una trappola che esiste da quando è nato il Web: si cerca di catturare la preda tramite un’esca, ossia tramite una email.
Il phishing si presenta come una comunicazione proveniente da fonti affidabili e porta un messaggio solitamente caratterizzato da un tono urgente che spinge il ricevente a compiere un’azione immediata. Per fare un esempio: una comunicazione email che sembra provenire dalla propria banca, nella quale viene richiesto di aggiornare i propri dati cliccando su un link.
Cliccando sul collegamento in questione, si viene reindirizzati a un sito web identico a quello originale(con lo stesso logo, ad esempio),. L’aspetto molto simile, è un trucco che sfruttano gli hacker per estorcere dati sensibili, come password, pin di conferma o numeri di conto.
Come capire che si tratta di un’email di phishing? Innanzitutto è necessario osservare con attenzione il contenuto del messaggio. Nonostante il loro aspetto ingannevole ricco di dati personali, marchi aziendali e url simili ai siti ufficiali, si possono notare errori di grammatica, riferimenti errati, toni di comunicazione esortativi e url sbagliati.

Cosa si intende per smishing?

Analogo al phishing è lo smishing, che però utilizza un messaggio di testo, un Sms.
La vittima di un attacco di smishing riceve un messaggio con toni allarmanti. L’obiettivo è indurre a cliccare su un link per sbloccare un conto oppure per saldare un conto bollette mai pagato fino a quel momento.
In questo modo i truffatori puntano a rubare denaro o anche solo a impossessarsi di dati personali come coordinate bancarie, numeri di carta di credito, indirizzi email e altro.
Lo smishing è più subdolo del phishing, perché i criminali fanno leva sul fatto che si tende a fidarsi di più di un messaggio sul telefono piuttosto che di una email (che si teme, giustamente, essere di phishing o che finiscono nello spam).
Per spingere il destinatario a cliccare sul link o a rispondere al messaggio di smishing, vengono utilizzate delle tecniche di ingegneria sociale, una forma di manipolazione psicologica che sfrutta sentimenti come paura, senso di colpa o avidità per convincere le vittime a interagire con il messaggio, spingendole ad agire senza pensare, quasi di impulso.

Come ci si può difendere dal pharming?

Molto simile al phishing, punta a estorcere informazioni sensibili, attraverso la manipolazione del traffico sul sito web originario o l’installazione di virus e malware sul computer della vittima.
In questo caso vengono utilizzati dei codici, per cui durante la navigazione su un sito web si viene reindirizzati automaticamente al sito fraudolento.
Errori ortografici e grammaticali, formattazioni strane, dimensione diversa dei primi caratteri sulla pagina web fraudolenta: sono tutti indizi che permettono di capire di essere sotto attacco pharming.
Come ci si difende da questi attacchi? La prima regola fondamentale consiste nel cambiare la password di fabbrica del router, di casa o dell’azienda. Va da sé che trattandosi un attacco automatizzato, è necessario potenziare le componenti tecniche di sicurezza del proprio computer: antivirus, antispyware, antimalware e firewall.
Si deve controllare poi che il browser utilizzi il protocollo di connessione sicura (HTTPS), o SSL,, indicato con il simbolo del lucchetto prima del campo dell’indirizzo URL.
Ma non basta: secondo un rapporto dell’Anti-Phishing Working Group, il 74% dei siti web di phishing utilizza SSL.
Quindi meglio dotarsi di una rete VPN (Virtual Private Network, ovvero rete privata virtuale) che utilizza un Domain Name System (DNS, il sistema di nomi di dominio) affidabile, per essere sicuri al 100%.

Cosa si intende per vishing?

Come il phishing, il vishing consiste in un attacco che sfrutta l’ingegneri sociale. I truffatori utilizzano il telefono e lasciano un messaggio vocale alle vittime, o le contattano direttamente. L’intento è persuadere e rilasciare dati personali, per far un bonifico a loro favore.
Tra le varie strategie, i truffatori spaventano la vittima allarmandola riguardo ai propri risparmi o a un investimento, spacciandosi per dipendenti o agenti di una banca o per agenti assicurativi e parlano di argomenti come il conto corrente compromesso, le tasse da pagare o, nel deprecabile caso di raggiri agli anziani, di pensione in pericolo.
Prima regola, dunque: non fornire mai i propri dati sensibili a persone sconosciute, tanto meno comunicarli per telefono.

Le frodi con carta di debito

La frode con carta di debito si verifica quando qualcuno riesce ad accedere alla nostra carta di debito, o ai relativi dati, per effettuare acquisti o prelievi non autorizzati.
I truffatori possono entrare in possesso dei dati della carta in diversi modi: utilizzando uno skimmer (cioè un dispositivo che viene fatto funzionare in prossimità di uno sportello automatico e che copia i dati e il pin della carta di debito), o, quando si effettua un pagamento online, con il furto dei dati dal sito attraverso cui viene effettuato il pagamento.
Spesso ci accorgiamo che qualcuno si è impossessato dei dati della nostra carta di debito quando notiamo movimenti sospetti sul conto corrente, o si riceve una notifica istantanea di acquisti che non sono stati effettuati.
In questo caso è necessario contattare il proprio ente bancario, procedere con il blocco della carta e avviare la procedura di chargeback, oltre a denunciare il fatto alla polizia. Il consiglio è dunque di tener controllato il saldo e le transazioni sul conto corrente costantemente, utilizzando un’app per smartphone o di home banking

Il romance scam

Se ne sente spesso parlare, a volte vengono sottovalutate, eppure sono all’ordine del giorno. Si tratta delle truffe romantiche, nella maggior parte dei casi le vittime, qui, sono gli anziani.
Oggigiorno la via prediletta sono senza ombra di dubbio i social media. Si conquista la fiducia dell’anziano, fino a tessere una relazione personale ma virtuale, a distanza. Instaurata questa, dopo qualche giorno arriva la prima richiesta di denaro.
Per questo si richiede ai parenti delle persone fragili di controllare le attività online, onde evitare di incappare nel romance scam.
Anche in questo caso, rimane valida la regola base: bisogna condividere le proprie informazioni personali solamente quando necessario. E quindi meglio restringere le proprie impostazioni sulla privacy sui social network.

Ma chi siamo noi sui social?

I social network sono la principale fonte di condivisione di dati al mondo, un’ampia porta d’ingresso per truffatori a caccia di informazioni personali.
Secondo la Commissione Europea il 12% degli utenti internet europei ha subito frodi online e in un caso su dieci si è trattato di un furto di identità.
Statista ha stimato infatti che nel 2025 la comunità online raggiungerà un numero pari a 4.4 miliardi di utenti.
Tendiamo inoltre a fidarci di chi conosciamo, e sui social ci intratteniamo con parenti e amici e abbassiamo la guardia.
Ci sono poi ragioni tecniche dato che su queste piattaforme il malware circola meglio e più liberamente rispetto ai siti web.
E quelle economiche: i furti d’identità sui social sono lucrativi, valgono vari miliardi di dollari all’anno.
Il furto di identità avviene tramite account falsi: con falsi profili i criminali informatici inviano messaggi a tutti i contatti chiedendo soldi, magari sotto forma di donazione per cause benefiche inesistenti.
Ma non finisce qui: finte pubblicità di prodotti o servizi inesistenti. Banner ingannevoli che inducono a un click facile ed erroneo con arrivo diretto a una landing page fasulla che richiede: nome, i dati della carta e l’indirizzo. Per completare l’acquisto di un prodotto fasullo. Così facendo i dati possono essere utilizzati per prelevare soldi direttamente dal conto o essere venduti ad altri criminali.

Come impostare una password sicura?

Per evitare tutte queste minacce primo fra tutto si devono impostare delle password sicura.
La password è come la chiave di casa, deve essere unica: in questo modo, nessuno può indovinarla e accedere, per esempio, alla casella di posta o al conto corrente.
Evitare ripetizioni o sequenze di numeri, è una delle strategie per avere una forte password. Con elementi ripetuti sarà più facile per gli algoritmi utilizzati dagli hacker indovinarla.
Si suggerisce poi di non utilizzare parole o numeri che rimandino alla propria persona. Quindi è importante evitare l’uso di numeri o parole che siano direttamente collegati alla propria sfera privata, come l’indirizzo di casa, la data o il luogo di nascita.
Una tecnica che aumenta la sicurezza della password è scegliere una sequenza casuale, formata per esempio da quattro parole complete e altri caratteri. Importantissimo da ricordare: non va mai utilizzata la stessa password per diverse piattaforme.

Lo smartphone sa tutto di noi

Lo smartphone è un computer e come tale può essere hackerato.
La protezione del proprio smartphone passa innanzitutto dal codice PIN: prima linea di difesa contro gli hacker, specialmente se il cellulare viene rubato. Per questo non deve essere 1234.
Attenzione alle App: bisogna scaricarle solo dagli store ufficiali. Infatti, la maggior parte delle app maligne, viene scaricata al di fuori dell’App Store di Apple o del Google Play Store per eludere le disposizioni di sicurezza.
Allo stesso modo si deve tenere le app e il sistema operativo aggiornati: gli hacker approfittano delle app non aggiornate trovando debolezze nelle loro infrastrutture per ottenere l’accesso ai personali.
Per la rete Wi-Fi pubblica è importante usare una VPN (Virtual Private Network). Gli hacker possono connettersi a tutti i router Wi-Fi accessibili pubblicamente e tentare di ottenere l’accesso a qualsiasi dispositivo che utilizzi la stessa rete pubblica.
La VPN nasconde la connessione ai criminali informatici e protegge da un possibile attacco hacker.
Infine, è sconsigliato utilizzare il login automatico delle app. Bensì sia pratico, se un hacker riesce a ottenere l’accesso al cellulare e il login automatico è attivo potrà facilmente aprire tutte le app non protette e estrarre i nostri dati.

I dati sono la nostra identità

Bisogna dunque comprendere che i dati sono la nostra identità, e la nostra identità è costituita da dati. Nel momento in cui qualcuno li sottrae, commette un furto di identità e può presentarsi al prossimo al posto nostro, una situazione non piacevole soprattutto se ha un diretto impatto sui nostri risparmi.

Come rimediare di fronte a un furto?

Tra quanto c’è da fare in caso di attacco hacker, c’è da tenere a mente, anche in preda al panico, che il supporto clienti di una banca non chiederà mai la password o il numero della carta di credito via email. Bisogna dunque:

  • assicurarsi che il software di sicurezza del computer sia aggiornato;

  • installare un’estensione anti phishing sul browser;
  • 
creare una password sicura e complessa e non usare mai la stessa password per diversi account;

  • assicurarsi che lo smartphone abbia gli ultimi aggiornamenti installati;

  • attivare l’autenticazione a due fattori per effettuare il login alle app con dati sensibili, tramite un codice inviato via SMS allo smartphone;
- non rendere pubblici dati sensibili;

  • non fotografare e non diffondere codici presenti sulle proprie carte.

Se si è ricevuto un messaggio sospetto di smishing va inoltre ricordato che una banca non contatta mai i propri clienti tramite SMS, così come non chiede mai per telefono di fornire i dati di accesso al conto o i dettagli della carta.
I messaggi di testo che invitano a chiamare un numero sono sempre di natura fraudolenta. Pertanto se viene chiesto di chiamare un numero, o di inviare un messaggio a un indirizzo email, bisogna cercare le informazioni di contatto e vedere se corrisponde a una azienda legittima. Meglio comunque non fare nulla e mettersi subito in contatto con il supporto clienti della propria banca segnalando l’accaduto.


Cosa faccio se ho sbagliato?

IL primo passo è la segnalazione ai provider e alle autorità competenti.
In caso di phishing: per prima cosa bisogna contattare direttamente il proprio provider dell’account email, ad esempio il Supporto Google se si usa Gmail.
Mettersi poi in contatto con l’azienda le cui informazioni sono state “clonate” dagli hacker per informarla dell’accaduto.
Inoltre, se ci si accorge che i propri dati sensibili sono stati rubati, bisogna rivolgersi immediatamente alla polizia.

Argomenti

# Hacker

Iscriviti alla newsletter