Truffe online, come difendersi con Più Sicuri Mobile Pro
Sommario
- Smartphone e sicurezza
- Malware
- Phishing
- Come riconoscere il phishing
- Che significa smishing
- Differenza fra phishing, smishing e vishing
- Phishing dai motori di ricerca
- Sextortion
- Trojan nello smartphone
- Truffe online a Le Iene
- Sms truffa da Poste
- Telefonata fraudolenta da banca
- Messaggio da Poste Info
- Come si manda sms da numero banca
- Segnalazione bonifico sospetto
- Furti di identità
- 10 consigli per evitare truffe online
- Come creare password
- Quali connessioni usare
- Più Sicuri Mobile Pro
Perché Più Sicuri Mobile Pro è la soluzione giusta per almeno 6 internauti su 10
Se sei fra il 60% di utenti che leggono questo articolo sulle truffe online da smartphone o altro dispositivo mobile e non da desktop, probabilmente fai parte di quel mondo che già da tempo apprezza la comodità e l’opportunità di informarsi, comunicare e perfino lavorare più con il telefono che con il computer. Sono infatti anni che il mobile ha ampiamente superato il desktop come accessi e utilizzo di Internet: la prima volta è avvenuto a ottobre 2016 (a livello mondiale), mentre in Italia il sorpasso c’è stato poco dopo, a marzo 2017.
Pro e contro del maggior uso del mobile rispetto al desktop
Come succede in tutte le situazioni della vita, l’utilizzo prevalente dello smartphone rispetto al pc comporta aspetti positivi e negativi:
- i primi riguardano certamente la tecnologia, le funzioni e in generale le possibilità d’uso sempre più sconfinate e incredibili dei nostri telefoni, così come la stessa interfaccia grafica dei siti web che, rispetto al passato, è progettata ormai prima per il mobile che per computer e tablet;
- la componente negativa sta invece da una parte nei rischi, in particolare per i minori, di uso incontrollato o comunque che va monitorato con attenzione da parte dei genitori, dall’altra del preoccupante aumento in generale di reati e truffe informatiche, furti d’identità ma anche di denaro, attraverso attacchi online di ogni tipo, che richiedono l’adeguata consapevolezza e informazione da parte di tutti.
La sicurezza per il tuo smartphone, oggi e domani
Se non conosci parole come malware, phishing, sextortion, smishing, spyware, trojan, virus, vishing e altri tipi di truffe online, nelle prossime righe capirai meglio perché molte aziende, e WINDTRE in prima fila, stanno sviluppando soluzioni per avere dei clienti ogni giorno Più Sicuri nell’utilizzo quotidiano dei loro dispositivi Mobile.
Meno rapine in banca e in uffici postali, più reati informatici e truffe online
I dati disponibili a inizio 2023 mostrano un calo del 27% delle rapine in banca e del 16% negli uffici postali. Qualcuno potrebbe pensare che sia “solo” un effetto della pandemia e dei molti mesi in cui l’accesso agli istituti di credito era possibile solo tramite appuntamento. La realtà è invece un’altra. Per criminali, ladri e truffatori sta diventando molto più semplice, nonché meno rischiosa, la possibilità di mettere a segno clamorosi colpi online che… uscendo di casa. Ecco perché potrebbe esserti utile sapere come difenderti e da cosa.
Cos’è il malware
Proprio perché una delle funzioni più importanti, per navigare sicuri su tutte le reti, è la “Scansione Malware”, vediamo che cosa significa esattamente questa parola. Malware è un termine, usato per la prima volta nel 1990 dallo studioso di computer Yisrael Radai, per definire in modo più specifico quello che in precedenza veniva chiamato semplicemente “virus informatico”. Quindi un software in grado di agire in modo subdolo o appunto malevolo, solitamente con una di queste 2 finalità:
- danneggiare il normale funzionamento di un dispositivo, quindi comprometterne l’utilizzo;
- prendere direttamente il controllo e quindi sfruttare alcune funzioni dello stesso dispositivo, per catturarne informazioni o programmarne altre azioni.
Da malware a nightmare (l’incubo delle truffe online), basta un clic
In passato, quando ad esempio un computer “prendeva un virus”, questa era certamente una scocciatura, ma alla fine quasi sempre si risolveva con l’amico o l’esperto informatico di turno che ci “ripuliva la macchina” e ce la restituiva con tanto di antivirus. Oggi, che dal nostro smartphone siamo invece abituati a effettuare pagamenti, accedere al nostro conto in banca e a controllare anche la nostra stessa casa da remoto, così come altri dispositivi a distanza, i danni di un malware possono diventare incalcolabili. È quello che, ad esempio, succede nei diversi casi di phishing.
Che cos’è il phishing?
Ecco un’altra parola che è tanto utile conoscere, quanto stare attenti a non restarne vittima! Phishing deriva da una deformazione di “fishing”, cioè “pescare”, dove l’iniziale viene riferita al “ph” di Phone o di Smartphone. Quindi letteralmente una “pesca” di dati personali o professionali, con l’amo che si infila proprio nel nostro telefono cellulare.
Se ne parla per la prima volta già nel 1994, quando un gruppo di giovanissimi hacker americani pensò bene di appropriarsi dei numeri di carta di credito di alcuni utenti del servizio AOL (America on Line). Pare che già dopo un anno dopo avessero “perfezionato” il sistema, facendolo funzionare in automatico su molti più account AOL, chiamandolo diabolicamente AOHell…
Attenzione all’esca di questo phishing, che può avere varie forme:
- mail (anche da un indirizzo conosciuto!);
- sms o messaggio via social;
- banner pubblicitario particolarmente attraente o anche all’apparenza innocuo su qualche sito web.
Qualcuno ora penserà: ma queste cose si sanno, dove sta la novità?
È proprio qui che conviene stare attenti alla fantasia criminale di hacker e truffatori online di ogni tipo.
Perché il malware può nascondersi anche in una comunicazione che si infila e mimetizza, in modo incredibilmente naturale, tra quelle dei nostri interlocutori più “affidabili e sicuri”, come gli sms in coda della nostra stessa banca o i messaggi abituali dal nostro store online preferito.
Truffe online: come riconoscere il phishing
Ecco gli ingredienti “immancabili” nei tentativi di phishing più comuni:
- un link a cui in un modo o nell’altro, con le trovate più ingegnose che ora vedremo, viene chiesto di cliccare;
- l’atterraggio su un sito ufficiale della banca o del servizio di cui siamo clienti, che è stato contraffatto in maniera molto simile all’originale;
- la richiesta di inserimento dati sensibili, solitamente fatta avvertendoci addirittura di dover risolvere al volo o sbloccare dei movimenti sospetti o altri problemi in corso;
- tutto questo, per rendere più credibile la truffa, può essere preceduto da una telefonata o da un sms molto formali (es. “stiamo svolgendo una verifica di sicurezza”) che possono ingannarci perché arrivano proprio dagli stessi numeri della nostra banca!
Quando scatta il pericolo
A seconda del livello di protezioni già eventualmente adottate sulla nostra rete di navigazione o se si naviga su un qualunque wi-fi, il pericolo dell’eventuale clic sul link ricevuto può essere di due tipi:
- trasmettere i propri dati e password di accesso, inserendoli ingenuamente nella falsa interfaccia grafica creata dall’hacker, molto simile a quella originale;
- subire l’attacco al dispositivo già semplicemente dopo aver cliccato sul link, non disponendo di un servizio preventivo di scansione virus come trojan e malware…
Il phishing, come abbiamo detto nella premessa, può essere messo in atto con delle diaboliche varianti che, a seconda del mezzo usato, assumono anche il nome di Smishing o Vishing.
Che significa smishing
Quando il phishing parte con un semplice sms, a questa tecnica criminale è stato dato il nome di smishing. La pericolosità di questa frode, che inizia con un banalissimo messaggio di testo, è che, con i mezzi di cui dispongono oggi gli hacker, l’sms può essere fatto partire da un qualunque numero di nostra conoscenza, compreso quello della banca o di un altro contatto che abbiamo già in rubrica!
La nostra fiducia verso il numero conosciuto potrebbe allora indurci a sottovalutare l’eventuale collegamento cliccabile o numero di telefono indicati nel messaggio stesso.
Ad esempio potrebbero avvertirci che “c’è un problema sul nostro conto corrente e che bisogna intervenire subito”. Ed è proprio l’effetto sorpresa, misto alla paura di non agire in tempo, che potrebbe indurci a trasmettere il nostro codice fiscale, o altri dati, pensando che questi ci vengano invece richiesti solo per essere riconosciuti dal sistema.
La differenza fra phishing, smishing e vishing
Ed eccoci alla terza possibilità: dopo il phishing che può arrivarci sullo smartphone ad esempio tramite messaggio mail o da un altro qualunque sistema di messaggistica collegato ai vari social, o lo smishing che invece viaggia tramite semplice sms, è stato dato il nome di vishing (con l’iniziale “v” di voice o “chiamata vocale”) al tentativo di frode che può arrivarci dalla viva voce di un presunto operatore della nostra stessa banca o di altro servizio di cui siamo clienti. Ricordiamoci che all’hacker basta conoscere anche un solo nostro fornitore di servizi, per attuare un tentativo di vishing, facendo quindi partire la chiamata da un numero che ci è “familiare”.
Il vishing ha lo stesso obiettivo delle altre tipologie di attacchi di phishing. Gli aggressori sono sempre alla ricerca di informazioni personali o aziendali sensibili. La differenza è che questo attacco viene eseguito direttamente tramite una chiamata vocale.
Il rischio di phishing tramite motori di ricerca
L’ultima frontiera, considerato il ricorso sempre più ampio alle ricerche online quando ci serve un sito, è il cosiddetto “avvelenamento SEO” o “trojan SEO”. Detto che l’acronimo SEO, Search Engine Optimization, indica la capacità di un sito nel raggiungere i primi posti tra i risultati di ricerca su Google, Bing o altro motore, è come se si trattasse di una “ricerca avvelenata”.
Gli hacker cioè riescono a piazzare il loro risultato taroccato al posto di quello di qualche celebre servizio che utilizziamo normalmente, ad esempio una banca o un altro sistema per trasferire denaro, un social media o uno shopping online, e approfittare dell’interfaccia grafica clonata per impadronirsi delle nostre credenziali di accesso e da lì poter agire al nostro posto sui siti veri, nei quali solitamente entriamo con quelle credenziali.
Sextortion: estorsione a sfondo sessuale o altra forma di ricatto online
E ora ecco un altro vero incubo, che sembra più la trama di un film cyber-thriller che una delle nuove truffe online, ma che in realtà è diffuso di quanto si immagini. Gli è stato dato il nome di Sextortion, cioè una fusione dei termini inglesi “Sex” ed “extortion”.
Che fare se ricevo una mail dal mio stesso indirizzo di posta?
La storia inizia così: apri la posta e trovi una mail inviata dal tuo stesso indirizzo.
Con questa, l’hacker ti annuncia di avere già preso il controllo del tuo account. Ti spiega pure che è riuscito a installare un malware durante una tua navigazione su un sito per adulti! (Immagina come potrebbe sentirsi qualcuno che è davvero un frequentatore di siti porno…).
Il Trojan nello smartphone…
Ti spiega che grazie a un cosiddetto Trojan ora ha pieno accesso sia al computer che al tuo smartphone.
Addirittura può vedere sia il tuo schermo, che accendere la videocamera e attivare anche il microfono!
Ha già ovviamente catturato tutti i tuoi contatti e le mail inviate e ricevute.
Ed ecco la prima minaccia: ti ha filmato proprio mentre eri sul sito per adulti e ha già montato un video che mostra sia la sequenza che guardavi, sia la tua faccia mentre lo facevi.
Aggiunge che questo video è già pronto per essere immediatamente inviato via mail a tutti i tuoi contatti.
Quindi parte la richiesta di denaro: ti dice di acquistare dei Bitcoin e inviarli a un numero di BTC Wallet che garantisce il massimo anonimato al destinatario. La cifra richiesta in questi casi non è di poco conto, ma sufficientemente “ragionevole” (ad esempio 300€), da indurti a pagarla subito, per non rischiare quanto da lui stesso minacciato di fare.
Colpo finale: hai solo 48 ore per pagare, specificando che un timer è già partito quando hai aperto la mail.
Denunciare non serve a nulla: la mail da cui ti arriva il messaggio è la tua stessa, che usi tutti i giorni, così come l’indirizzo bitcoin non può essere tracciato.
Qualunque tentativo di condividere o girare questa mail ad altri (es. Polizia Postale) potrebbe costarti l’immediato invio del video compromettente a tutti i contatti.
Come puoi intuire, una situazione senza uscita, a meno che tu abbia la certezza di non aver mai guardato un sito per adulti in tutta la vita…
Le nuove truffe online e il servizio Le Iene
A gennaio 2023 c’è stato un servizio televisivo della trasmissione Le Iene che ha giustamente provato a mettere in guardia milioni di telespettatori sulla pericolosità delle nuove truffe online.
Nelle testimonianze riportate nel servizio, si ripetono proprio situazioni simili a quelle fin qui descritte.
Sms truffa da Poste Italiane
Una persona racconta di aver ricevuto un sms da Poste Italiane che avverte che il conto è in pericolo, per cui bisogna subito cambiare le credenziali attraverso il link indicato nel messaggio stesso. Questo lo porta a un sito del tutto simile a quello di Poste Italiane, dove prima inserisce le proprie credenziali e poi le cambia. Gli appare quindi il messaggio “Operazione andata a buon fine”. In quel modo l’hacker ha carpito le vere credenziali, cioè proprio quelle iniziali. Il risultato: la persona si ritrova un pagamento effettuato da 540€ e solo 20€ rimasti sul conto!
Telefonata fraudolenta dalla banca
Un altro caso raccontato sempre nel programma Le Iene è quello di una telefonata ricevuta dalla banca, che segnala problemi sul conto che richiedono un intervento urgente. Attenzione: il presunto operatore telefonico fa arrivare man mano al cliente dei messaggi sul telefono, che – questo è l’aspetto più sconvolgente della vicenda – si agganciano alla coda dei messaggi precedenti della stessa banca! Al cliente sembra così tutto normale, e, come richiesto dall’operatore, disinstalla e installa nuovamente l’app dal link ricevuto via messaggio. Al termine di questa operazione si ritrova 20.000€ in meno!
Finto messaggio di segnalazione da Poste Info
L’ennesima vittima ci racconta di un messaggio testuale ricevuto dal numero di Poste Info che le segnala un “tentativo di accesso in atto da un dispositivo non registrato”. In questo caso, all’iniziale smishing (il phishing via sms) si aggiunge il vishing (la chiamata vocale): dopo mezz’ora arriva una telefonata da “Operatore di Poste Italiane” che chiede alla persona se per caso ha dato credenziali di accesso a qualcuno per fare delle operazioni. Alla risposta negativa, l’operatore dice: “Facciamo una verifica insieme, per vedere se sono riusciti ad accedere o no”. Per procedere con la verifica, fa arrivare dal sito Poste un link grazie al quale può gestire il telefono dell’utente da remoto.
La persona racconta che, durante la presunta verifica da remoto, sul display del telefono c’era solo la rotellina del loading che mostrava il messaggio “scansione in corso”. E in quello stesso tempo le veniva completamente svuotato il conto!
Come si manda sms dal numero della banca
Un esperto informatico intervistato dall’inviato de Le Iene spiega che ormai esistono siti da cui è possibile far partire un sms da uno specifico numero a un altro specifico numero! E questi sms finiscono nella coda della chat o dei messaggi, proprio con il numero di telefono originale, senza possibilità cioè di distinguerli. Un po’ lo stesso modo in cui riceviamo a volte messaggi con link sospetti dai nostri amici via mail, su Facebook o altri social.
“Scusi signora, per caso ha autorizzato un bonifico per la Svizzera?“
Con questa solerte domanda parte un’altra truffa raccontata dalle Iene. Prima una telefonata che sembra solo un controllo di routine: “Ci scusi, ha per caso disposto un bonifico di XX.000€ verso questo conto in Svizzera?” Ovviamente la persona risponde di no e tutto sembra finire lì.
Dopo un po’ richiamano per avvertire che manderanno un link tramite sms. Naturalmente… il messaggio è identico agli altri solitamente ricevuti dalla propria banca. Il link presente nel messaggio sms fa entrare in una pagina dall’interfaccia grafica identica a quella della banca, dove l’utente inserisce i propri dati senza porsi particolari dubbi… L’operatore dall’altra parte digita qualcosa sulla sua tastiera e a un certo punto l’avverte che arriverà un altro messaggio al quale semplicemente rispondere Autorizza. Al che arriva la rassicurante risposta: “Lo storno di XX.000€ è stato autorizzato.”
Conclusione: “Signora, ora congeleremo il conto per 24 ore e la ricontattiamo noi, stia tranquilla.” Potete immaginare da soli l’epilogo di quel che dei malintenzionati possono fare con il vostro conto in banca, potendo agire per ben 24 ore indisturbati…
Furti di identità
Oltre alle truffe con danni economici, la situazione può aggravarsi con il furto dei documenti d’identità. Con questi documenti in possesso, i truffatori possono avviare attività economiche e vere truffe online, utilizzando l’ignaro intestatario del documento come responsabile legale.
Un criminale può avere così l’opportunità di usare il nostro nome e cognome, ad esempio per vendere online della merce di cui non dispone: si fa pagare e quindi scompare. La triste conseguenza è ritrovarsi con decine o anche centinaia di denunce a proprio carico, e magari doversi difendere da processi per truffa, per i quali potrebbero passare addirittura anni prima di dimostrare di essere stati truffati a propria volta!
Perché rischiare?
Abbiamo visto finora che, indipendentemente dal nome, phishing o truffa online, dietro un semplice messaggio sms, un codice, un clic di troppo su siti o numeri apparentemente sicuri, possono esserci trappole da cui potrebbero volerci anni per uscire!
Messaggi che creano allarme immediato e sfruttano il fattore sorpresa, unito alla credibilità del mittente, un immancabile link da cliccare, se non proprio richieste di pin o password.
Alla fine bastano pochi secondi a esperti hacker per spostare anche tanti soldi e svuotarvi il conto. Non importa quanto potete pensare di essere “abituati” a questi tentativi, il rischio è sempre sul display.
Più Sicuri Mobile: 10 consigli per evitare le truffe online
- In generale: mai cliccare su link ricevuti via messaggio!
- In caso di telefonata da banca o da Poste Italiane, usare la normale homepage del proprio istituto di credito per fare il login per eventuali controlli e non certo cliccare su qualche messaggio ricevuto via sms, seppure dallo stesso numero dei vecchi messaggi! Oppure verificare prima se ci sono messaggi sull’app originale della banca o da Poste.
- In caso di telefonate improvvise, farsi lasciare il nome dell’operatore e richiamare, ma possibilmente passando dal centralino ufficiale della Banca o della Posta.
- Ogni volta che si devono digitare dati sensibili su un sito web è bene abituarsi a osservare prima l’URL della pagina stessa (quello, per capirci, che inizia con http… o www…).
- Il nome del sito è quello solito, oppure c’è qualche lettera o parola strana in più? Attenzione: potrebbe essere anche solo una lettera “o” sostituita con il numero “0”, questo per dire che non è facile accorgersi del trucco, quindi occhi aperti!
- Anche nel caso di mail, messaggi o post social di amici e conoscenti (Es. “sto guadagnando più di quanto pensavo, guarda qui…”, oppure “Scusa il disturbo, ma mi trovo in difficoltà, mandami 20€ da qui…”), pensarci due volte prima di cliccare su link strani o per i quali non si sia stati avvisati in precedenza. O comunque: sempre meglio chiedere prima all’interessato se è davvero al corrente di aver inviato quel link.
- Stesso discorso nel caso di mail, non attese, seppur da amici, con allegati: mai aprirli prima di aver contattato il mittente!
- Diffidare dai messaggi di testo (sms) da parte della propria banca, anche se riportano qualunque tipo “di emergenza”.
- Aumentare, in generale, la protezione dei propri account.
- Scegliere una protezione completa per lo Smartphone e i dati, come Più Sicuri Mobile Pro.
Come creare le password
In assenza di limiti specifici, il consiglio è di utilizzare password tendenzialmente lunghe, anche fino a 20 caratteri! Due o tre elementi diversi, fra lettere maiuscole, minuscole, cifre e simboli, sono sufficienti. Piuttosto è meglio cambiare questi elementi ogni volta che si crea una nuova password.
È un problema ricordarle tutte? La scelta è fra crearne una molto lunga che si riesce a ricordare, oppure utilizzare direttamente un apposito gestore di password (LastPass, Password Safe e moltissimi altri…).
Autenticazione a due fattori, sì o no?
Ormai dovrebbe essere la norma, specie per banche e altri servizi finanziari. Normalmente si può optare fra il telefono (app o sms) o la mail come secondo fattore, ma sempre meglio accedere ai propri servizi con password monouso ricevute sul proprio telefono, abbinata a quella solita di accesso dal sito.
Quali connessioni usare per navigare sicuri?
Il consiglio è cercare di utilizzare soltanto (o il più possibile) connessioni sicure, specie quando si accede a siti sensibili o comunque che prevedano l’utilizzo di denaro.
Ricordiamoci che, se anche una sola volta ci colleghiamo a una connessione non sicura, se sprovvisti di “Protezione du tutte le reti”, dei malintenzionati potrebbero in maniera del tutto indisturbata e difficilmente contrastabile, portarci su loro pagine di phishing… Questo rischio si potrebbe evitare con una soluzione come Più Sicuri Mobile Pro di WINDTRE che protegge lo smartphone dalla navigazione su ogni tipo di rete.
Abituarsi a guardare che le pagine su cui navighiamo abbiano un URL che comincia per HTTPS e verificare comunque se il nome del sito in cui ci troviamo è quello solito. Conviene farlo sempre per l’online banking, i siti su cui si fanno acquisti, ma anche i social media e ogni altro sito su cui inseriamo le nostre credenziali!
Più Sicuri Mobile Pro WINDTRE, la massima protezione contro malware, spyware e trojan
Se utilizzi in modo intenso il tuo smartphone e, ad esempio, spesso devi collegarti anche ad altre reti con livelli di protezione diversi dalla tua abituale, Più Sicuri Mobile Pro di WINDTRE ti assicura una navigazione sicura su tutte le reti (WINDTRE, qualunque Wi-Fi e anche in Roaming).
Più Sicuri Mobile Pro WINDTRE è la scelta ideale per una protezione completa per il tuo Smartphone, con funzione di Controllo violazioni Account sempre attiva.
Più Sicuri Mobile Pro WINDTRE rileva virus, malware, spyware, trojan. Questa opzione è disponibile solo per Android (i sistemi Apple hanno già un differente sistema di sicurezza).
Login e Privacy dell’Account è il servizio che verifica che le tue password e le tue credenziali siano sempre protette. Inoltre limita automaticamente la tracciabilità durante la navigazione online.
Scopri qui le altre opzioni Più Sicuri Mobile WINDTRE per tutta la famiglia e per i servizi di rete fissa >> https://www.windtre.it/sicurezza-in-rete/
