image

Frodi online: phishing, vishing e smishing

Le principali tecniche che i malintenzionati usano per rubare informazioni riservate e personali

Le truffe online, con il passare del tempo, sono diventate sempre più sofisticate e complesse, quindi sempre più difficili da riconoscere.
Quando si ricevono da un mittente sospetto messaggi o chiamate che mirano a far compiere un'azione, facendo leva sul senso di urgenza, è necessario non agire impulsivamente e non compiere alcuna azione o operazione.

 

Essere vittima di una frode online è molto più semplice di quello che si possa pensare. A volte basta semplicemente aprire un banale allegato, oppure cliccare un semplice link. È importante fare sempre attenzione a fornire i nostri dati personali quando navighiamo in rete: è sufficiente una piccola distrazione per venire frodati.

 

L’elemento che contraddistingue le varie tecniche di frode online è la modalità con cui i frodatori si mettono in contatto con le vittime. L’obiettivo è sempre lo stesso: rubare informazioni riservate (come ad esempio dati bancari, numeri di carte di credito, la password per accedere alle email, i codici del tuo internet banking...) per fini illeciti.

 

I malintenzionati contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o telefonate (vishing).

 

Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di "social engineering", ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social network (come Facebook, Instagram, ecc.) si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle nostre amicizie. Sono tecniche molto insidiose perché utilizzano l’inganno o sfruttano l’ingenuità della vittima per indurla a fidarsi di chi la sta contattando.

 

Esistono per fortuna consigli pratici da applicare per tutelarsi dalle frodi online.

 

Il phishing (da “to fish”, “pescare”, perché la vittima viene “presa all’amo” dal malintenzionato) è una tecnica ingannevole che sfrutta le comunicazioni via email, e che mira a farci compiere un’azione (come cliccare su un link o scaricare un’app) per rubarci l’identità o i dati personali, allo scopo di accedere ai nostri conti bancari, e carte di credito per fini illeciti.

 

Esistono dei segnali da monitorare, ad esempio il fatto che le false email richiedono sempre un’azione specifica da parte del destinatario, come:

  • cliccare su un link che rinvia a una pagina in cui inserire i dati bancari e personali
  • aprire un file allegato che potrebbe contenere programmi malevoli (malware)
  • installare o aggiornare applicazioni da siti e store non ufficiali
  • comunicare i tuoi dati personali o codici di sicurezza.

I truffatori generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) o un’azienda molto nota, sfruttandone illecitamente il brand (“marchio”), per indurre gli utenti a fidarsi. Per farlo, spesso usano dati dell’utente che già possono conoscere (data di nascita, indirizzo di residenza…), in modo da spingerlo a divulgare informazioni confidenziali.

 

Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle aziende, per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest’ultimo segue perfettamente lo stile e la grafica del sito originale. Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.

Come riconoscerlo?

  • Indirizzo del mittente: Il messaggio di solito sembra provenire da una banca o da un’organizzazione conosciuta. Può essere simile all’indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com
  • Oggetto sospetto: spesso è strutturato come risposta a un messaggio (“RE:”) che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese
  • Errori di grammatica, traduzione o formattazione nel testo o nel nome dell’azienda oppure il logo riprodotto male sono dettagli che devono insospettirti: quasi sempre si tratta di phishing
  • Esca allettante: ad esempio vincite a presunti concorsi, offerte di lavoro, regali o premi, di solito sono finte; se parlano di vincite di denaro vanno sempre ignorate
  • Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena la disattivazione dell’account
  • Invito all’azione ( “Verifica subito”, “Vai al sito” ecc.):per esempio, viene richiesto di collegarsi al sito per sbloccare il conto, regolarizzare la propria situazione bancaria o compilare un form ("modulo")
  • Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate
  • Link fasulli: in caso di phishing potresti notare alcune stranezze nell’URL (come codici numerici) che lo rendono diverso da quello ufficiale.
    Fai attenzione al dominio e a eventuali errori di battitura.
  • Posta indesiderata: i messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.

Come evitarlo?

  • Controlla sempre la provenienza delle comunicazioni che ricevi e verifica l’attendibilità del mittente
  • Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc) non rispondere e cestina il messaggio
  • Non cliccare su link e non scaricare l’allegato e le immagini che contengono se il mittente è sconosciuto o il contenuto ti sembra sospetto
  • Fai attenzione ai dettagli e controlla bene il testo e gli errori di grammatica
  • Il truffatore maschera molto bene il proprio indirizzo web. Per controllare i link, basta passare il puntatore del mouse sopra l’indirizzo (senza cliccare) per visualizzare l’URL di destinazione. Il primo elemento da prendere in considerazione per verificare la sicurezza del sito web è l’utilizzo del protocollo https:// (la “S” indica che è sicuro). Inoltre, cliccando sul lucchetto presente nella barra di ricerca è possibile verificare i dettagli della certificazione
  • Se scarichi i messaggi di posta sul computer ( tramite programmi come Microsoft Outlook) assicurati che la cartella di posta indesiderata sia attiva
  • Se hai dei dubbi sulle richieste sospette o pensi di essere caduto vittima di phishing contatta la tua filiale o il tuo Gestore

Se pensi di aver risposto ad un messaggio di phishing fornendo i tuoi dati bancari, contatta subito la Filiale Digitale

Come proteggersi in caso di addebito fraudolento a seguito di una truffa telematica

Se non hai autorizzato tu un’operazione, puoi rivolgerti alla banca per fare richiesta di disconoscimento tramite i seguenti passaggi:

  • Blocca la carta, l’internet banking o l’app;
  • Compila e firma il questionario;
  • Attendi l’esito della richiesta: la banca analizza l’accaduto e al termine di verifiche approfondite ti fornisce un riscontro.

Se non hai ricevuto risposta entro i termini resi noti con i documenti di Trasparenza Bancaria o non sei soddisfatto dell'esito del disconoscimento e/o reclamo, potrai attivare una procedura di Conciliazione; maggiori informazioni sono disponibili presso le filiali del Gruppo Intesa Sanpaolo e sul sito www.intesasanpaolo.com e https://www.intesasanpaolo.com/it/persone-e-famiglie/reclami.html.

 

In alternativa potrai ricorrere alle risoluzioni alternative delle controversie come da informazioni consultabili sul sito www.intesasanpaolo.com

Approfondimenti