Sono sempre più frequenti episodi di attacchi informatici e furto dati con conseguenti richieste di denaro. Ne fanno testo i più recenti casi di cronaca che hanno visto come vittime grosse Aziende pubbliche, Imprese, Organizzazioni ma anche semplici cittadini. È proprio di oggi un interessantissimo articolo apparso sul Corriere a firma di Milena Gabanelli e Francesco Tortora. Oltre a fornire una serie di dati certificati e documentati, il report offre ottimi consigli su come difendersi dai pericoli cui siamo esposti navigando in rete. Mi permetto perciò di riportare integralmente il contenuto con l’invito leggere tutto molto attentamente.
Ogni giorno 37 milioni di italiani navigano sul web, in media per due ore e mezza. Su Internet lavoriamo, acquistiamo prodotti, organizziamo le vacanze. Tra siti e social condividiamo dati personali che possono diventare merce preziosa per le organizzazioni criminali specializzate in reati informatici. Alla base delle truffe online c’è quasi sempre un furto d’identità digitale, cioè dati anagrafici e sanitari, utenze telefoniche, account bancari. I cybercriminali dragano la rete proprio alla ricerca di queste informazioni.
I dati più richiesti
Cosa serve per rubare un’identità e sostituirsi ad un’altra persona?
1) Tutti i dati che permettono al criminale di prendere il posto della vittima (nome, cognome, numero di telefono, numero carta d’identità digitale, patente etc.);
2) credenziali d’accesso (nome utente e password di email, social network, carta d’identità elettronica, Spid);
3) codici bancari (le coordinate che consentono l’accesso a conti correnti o a carte di credito).
Le tecniche di smishing e vishing
Le statistiche della Polizia Postale sul 2022 mostrano come la maggioranza dei furti d’identità nell’ambito delle frodi informatiche avvenga attraverso le tecniche dello smishing (l’uso di sms nel 64% dei casi) e del vishing (con una telefonata, nel 19% dei casi): il criminale finge di essere un operatore di aziende fornitrici di beni e servizi o un membro delle forze dell’ordine, e con l’inganno estorce informazioni personali all’interlocutore. Spesso sul display del telefono può comparire il numero reale dell’istituzione alla quale i criminali fingono di sostituirsi. Un classico è l’sms che arriva dalla banca: all’utente è chiesto di accedere al proprio conto online tramite un link, molto simile al dominio dell’istituto di credito, e che rimanda a un sito graficamente quasi identico. Per rendere più plausibile la richiesta, la vittima è contattata da un finto operatore bancario. Una volta inseriti i codici, per i truffatori è facile prelevare somme dal conto corrente.
La truffa via e-mail e WhatsApp
Il 12% dei furti d’identità avviene invece via phishing, cioè attraverso l’uso di un’e-mail fraudolenta. Se in passato questa tecnica era facile da individuare (di solito i testi erano pieni di strafalcioni grammaticali e il sito clone a cui si era rimandati aveva molti difetti) oggi è complicato perché i raggiri sono diventati più sofisticati.
Per esempio ai clienti di Trenitalia a inizio novembre è inviata una email in cui si chiede di rispondere a un sondaggio con la possibilità di ottenere biglietti a prezzi stracciati. Chi accetta di partecipare clicca sul link segnalato ed è reindirizzato su un sito falso che ha un dominio (tren-italia].]com) e una grafica molto simili all’originale. L’azienda di cybersicurezza d3Lab ha per prima denunciato la campagna di phishing, svelando la truffa: agli utenti sono chiesti i dati anagrafici e le coordinate della carta di credito che poi sono utilizzati in modo illecito. Le frodi possono avvenire anche via WhatsApp: il Responsabile Amministrativo di una nota società italiana ha recentemente denunciato alla Polizia Postale di essere stato raggirato da un soggetto che si era presentato come il suo Amministratore Delegato. Il falso Ceo lo ha avvertito che a breve sarebbe stato chiamato da un avvocato, incaricato di una trattativa di acquisto riservata. Il presunto legale lo ha poi esortato ad emettere un bonifico con un’alta somma di denaro e gli ha inviato documenti riservati da compilare e restituire con i documenti di identità allegati.
I furti d’identità tramite malware
Un nuovo trend, altrettanto pericoloso, è quello dei furti d’identità tramite malware, una volta chiamati virus, che si installano sul pc dopo che, per esempio, la vittima ha scaricato inconsapevolmente un software infetto sul proprio dispositivo. Tra i più sofisticati e diffusi troviamo gli Infostealer, letteralmente «ruba informazioni»: «La loro particolarità è che riescono ad aggirare i più comuni antivirus e restano silenziosamente attivi nel computer colpito – spiega Pierguido Iezzi, CEO di Swascan, società di sicurezza informatica –. Ogni volta che inseriamo informazioni personali e sensibili sul nostro computer, l’Infostealer è in grado di registrarli e girarli ai criminali online. Il caso più classico è quello delle combinazioni e-mail e password necessarie per accedere all’online banking. Da lì il cybercriminale può sfruttarli in svariati modi. Può telefonare alla vittima spacciandosi per un operatore della banca e dichiarare che c’è stato un movimento sospetto sul suo conto online. Poi il criminale si fa consegnare i codici univoci di accesso al conto corrente, sottraendolo completamente al controllo della vittima».
Sostituzione di persona o vendita dei dati sul dark web
A volte il criminale ruba l’identità digitale semplicemente per sostituirsi alla vittima o per vendere le informazioni personali sul dark web. Spesso i truffatori combinano dati autentici e fittizi creando falsi profili da utilizzare sui social network. Durante il periodo del Covid questa strategia è stata usata per diffondere fake news sulla pandemia o per creare falsi account di medici e screditare l’uso dei vaccini. Nel 2022 i casi di sostituzione di persona trattati dalla Polizia Postale sono stati 4.159, mentre nei primi 9 mesi del 2023 ne sono stati identificati 2.429. E questa è solo la punta dell’iceberg perché spesso le vittime non sanno di essere state derubate delle proprie generalità, oppure non sporgono denuncia.
Quanto rubano e cosa comprano
Secondo le statistiche dell’Osservatorio sulle Frodi Creditizie e i furti d’identità nel primo semestre del 2023 i casi di utilizzo illecito di dati personali e finanziari altrui per rubare denaro e acquistare beni sono stati 17.100 (+10,8% rispetto al 2022) con un danno stimato di oltre 83 milioni (+14,2%). I singoli importi sottratti vanno dai 1.500 euro fino a superare i 10 mila. E cosa acquistano? Elettrodomestici (34,6%), auto e moto (16,5%), abbigliamento (9,4%) e dispositivi elettronici (8%).
Le vittime più colpite
L’identikit della vittima privilegiata dai cybercriminali ha meno di 30 anni (23,8%) e vive in Lombardia (14,6%), Campania (11,3%), Sicilia (11,2%). Oltre il 50% delle truffe è scoperto almeno 6 mesi dopo essere stato portato a termine, mentre un caso su 5 è svelato addirittura dopo 5 anni. «Troppo spesso ad attirare la criminalità – spiega a Dataroom Barbara Strappato, Direttore della Prima Divisione del Servizio Polizia Postale e delle Comunicazioni – è il modo imprudente e superficiale degli utenti di interagire con la Rete. Siamo noi che postando su Internet, senza remore, tante informazioni personali rendiamo più facile il lavoro ai criminali».
Come si evitano le truffe
I consigli sono quasi banali nella loro semplicità:
1) usare sempre username e password che contengano lettere maiuscole, minuscole, numeri e simboli;
2) evitare di utilizzare le stesse password per più servizi e cambiarle periodicamente;
3) non aprire email, sms e WhatsApp con allegati e link sospetti;
4) proteggere i propri dispositivi con antivirus affidabili e riconosciuti e utilizzare browser sicuri per la navigazione su Internet;
5) per i social, servizi e acquisti online attivare la funzione di autenticazione a due fattori e il sistema di alert (ad esempio un sms con un codice utilizzabile una sola volta e la notifica ogni volta che vengono prelevati soldi dal conto, come avviene con i servizi di homebanking).
E infine consapevolezza dei rischi: mai pubblicare le informazioni più personali sulla piazza virtuale.
FONTE: Corriere della Sera del 14 Febbraio 2024
