Truffe Online

Sono molte le truffe online, alcune esistono ormai da decenni. Segue un interessante elenco con le principali minacce di questo tipo, dando utili suggerimenti per non cadere nel tranello dei cybercriminali.

Pingcalls

Truffe telefoniche segnalate dalla Polizia Postale. Squilli da numeri stranieri che, se richiamati, prosciugano il credito. Negli ultimi giorni abbiamo avuto numerose segnalazioni da parte di utenti che ricevono chiamate da numeri telefonici con prefisso estero, per lo più provenienti dalla Gran Bretagna e dalla Tunisia. Un solo squillo che incuriosisce chi lo riceve e lo induce a richiamare. È questo lo scopo dei criminali che , proprio grazie a questo, riescono a svuotare il conto telefonico del malcapitato ricaricando le carte di credito attivate per l’occasione. Il ‘costo’ della semplice telefonata, naturalmente senza risposta da parte di alcuno, può arrivare anche a 30 euro.

Ancora truffe telefoniche. A segnalarle è la Polizia Postale che invita a prestare la massima attenzione per non rischiare di vedersi azzerare il proprio credito telefonico. Ma vediamo in costa consiste la truffa che ultimamente sta danneggiando moltissimi utenti in tutta Italia. In pratica vi arriva uno squillo da un numero straniero al quale ovviamente non fate in tempo a rispondere. A questo punto arriva la truffa perché se provate a richiamare quel numero il vostro credito residuo verrà completamente prosciugato. La telefonata viene, infatti, automaticamente reindirizzata ad una linea a pagamento che vi costerà ben 1,50 euro al secondo. Pochi secondi ed il credito sparisce. Ma c’è di più. Se non avete una carta ricaricabile ma direttamente l’addebito sul conto corrente i truffatori riescono a risalire ai dati della vostra carta di credito o del vostro conto corrente con un danno facilmente immaginabile. Questi squilli vengono definiti Ping calls ed è una truffa già verificatasi lo scorso inverno per poi sparire. Ed ora la truffa è tornata a colpire mietendo già tantissime vittime. Molti sono stati spinti dalla curiosità ed hanno provato a ricontattare quel numero, altri lo hanno fatto perché forse attendevano una telefonata proprio da quel Paese e sono stati tratti facilmente in inganno. Dall’altra parte si sentono solo delle voci in sottofondo che hanno lo scopo di tenere le persone al telefono nel tentativo di capire cosa quelle voci stiano dicendo. Ma chi si nasconde dietro queste false chiamate? In realtà non vi sono delle persone fisiche ma dei software che compongono numeri telefonici a casa oppure attinti da rubriche telefoniche illegalmente acquistate su internet. Il prefisso dei numeri in questione è principalmente quello della Tunisia, ma anche della Moldavia, del Kosovo, della Bielorussia ed addirittura della Gran Bretagna. Ecco i prefissi finora segnalati ai quali prestare attenzione: +216 (Tunisia), +373 (Moldavia), 678 (Vanuatu, Sud Pacifico); +383 (Kosovo); +375 (Bielorussia); +371 (Lettonia); + 255 (Tanzania); + 44 (Gran Bretagna). La Polizia Postale ha precisato che, in genere, queste telefonate arrivano tra le 18.30 e le 20.30, giocando sul fatto che in quell’orario la maggior parte delle persone è più libera da impegni lavorativi ed ha quindi il tempo di richiamare. Il consiglio è quello di prestare sempre la massima attenzione prima di rispondere a telefonate provenienti da numeri non presenti nella nostra rubrica ed accertarsi che il prefisso sia italiano. Se così non fosse, non rispondere assolutamente e segnalare l’episodio alla Polizia di Stato.

Consigli:
Non richiamare il numero sconosciuto;
Non inviare messaggi;
Non aprire link inviati con SMS o “sistemi di messaggistica” collegati ai predetti numeri;
Bloccare il numero chiamante sconosciuto avente prefisso estero.

Phishing

La prima, è più famosa categoria di truffe online è il phishing. Una campagna di phishing viene studiata in modo tale che il malcapitato, in seguito alla ricezione di una mail dal tono professionale e in apparenza spedita da una organizzazione seria e degna di fiducia, ceda username, password e altre informazioni personali che verranno utilizzate per scopi malevoli. Un esempio? Potreste ricevere un’e-mail da un’azienda che dichiara di occuparsi degli abbonamenti TV, la quale vi comunica di non aver ricevuto il vostro pagamento non è arrivato, minacciando pesanti sanzioni se non regolarizzate immediatamente la vostra posizione. 

Ci sono alcuni segnali che indicano che si tratta di una truffa e queste semplici regole che seguono dovrebbero essere applicate a qualsiasi e-mail che si riceve da un’azienda o da una persona che non si conosce.

Controllate l’indirizzo e-mail. Sebbene il nome del mittente sia “Ufficio Abbonamenti TV”, l’indirizzo e-mail non avrà nulla a che fare con esso.
Un truffatore non si rivolge quasi mai a voi chiamandovi per nome – useranno il vostro nome utente indicato nella vostra email, si rivolgeranno a voi con un “Caro cliente”. Se ci fate caso, le aziende attendibili si si rivolgono direttamente a voi soprattutto quando si tratta di questioni importanti o economiche o che riguardano i vostri account.
Passate con il mouse sul link su cui vi si chiede di cliccare (senza cliccare ovviamente). Se vi sembra inusuale o  strano, molto probabilmente è falso. A questo punto, inserire i dati della vostra carta di credito purtroppo servirebbe solo a finanziare i criminali informatici, non a rinnovare il vostro abbonamento TV.
Ci sono numerosi errori ortografici e grammaticali o loghi sfocati? Se l’e-mail vi sembra creata con noncuranza, allora ci sono ottime probabilità che la posta elettronica ricevuta sia truffaldina. Un punto essenziale e molto frequente nelle email di phishing, la generazione del senso di urgenza. Se un’e-mail chiede di agire immediatamente o suscita la curiosità, meglio essere cauti.
Inoltre, non di rado si assiste alla richiesta di informazioni personali o sensibili. Non rispondete mai a un’e-mail non sollecitata che vi chiede informazioni personali, finanziarie o sensibili.
Per finire, allegati con tipo di file inusuale. Nell’ambito professionale, vengono inviati via e-mail solo alcuni tipi di file. Se il file vi sembra strano, non apritelo.

Packaging e invoice spam

Non ricordo di aver sottoscritto un abbonamento per questa app”. Ma questo è ciò che sostiene l’email che avete ricevuto. E nella fattura si dice che l’abbonamento è stato acquistato in Sri Lanka. “Ci deve essere un errore” vi dite, e aprite il pdf allegato per controllare. Purtroppo, quel PDF conteneva un exploit, che alla fine ha trasferito il trojan Emotet sul vostro dispositivo. La truffa varia, ma di solito si focalizza su un pacco che non avete ordinato, una fattura per qualcosa che non avete acquistato, o un pagamento mensile per un abbonamento o servizio a cui non vi siete iscritti. Ciò può comportare una serie di conseguenze dannose, come il furto delle credenziali bancarie.

È importante dunque prestare particolare attenzione agli avvisi che compaiono sulle estensioni che devono essere abilitate. Raramente tali estensioni sono davvero necessarie quindi non procedete in nessun modo!

Truffa sui biglietti online

Le truffe online nella vendita di biglietti online sono in aumento. I consumatori vengono indotti a comprare biglietti falsi per eventi sportivi o concerti (di solito di alto profilo, per aumentare la percentuale di successo). I biglietti falsi tendono ad essere duplicati, o hanno un codice a barre contraffatto che non consente l’ingresso e nella peggiore delle ipotesi, non è stato emesso alcun biglietto. Ecco alcuni suggerimenti per evitare questo tipo di truffa.

Prima di tutto, acquistate solo da società conosciute e affidabili. In ogni caso, se ciò non è possibile, fate sempre una ricerca online, possibilmente mettendo la parola ‘Truffa” davanti al nome dell’azienda. Potrete così leggere nei forum online eventuali reclami/recensioni.
Sul sito web da cui state per effettuare l’acquisto, cercate il simbolo del lucchetto per verificare la sicurezza del sito stesso.
Indispensabile fare attenzione alla diffusione dei malvertising (annunci falsi che rimandano a siti web dannosi). Come nel caso precedente, cercate il fornitore su internet e verificate la sua autenticità prima di effettuare qualsiasi acquisto.

La Digital extortion

Le campagne digitali di estorsione minacciano l’immagine di un soggetto, le relazioni sociali e nei casi più estremi perfino la vita stessa del malcapitato. Ad esempio, qualcuno sostiene di aver violato un sito web pornografico e vi accusa di averlo visitato. Il truffatore dice di aver preso il controllo del vostro monitor e della vostra webcam, e di aver registrato sia voi che il materiale pornografico e di aver creato un video.

Come se questo non fosse abbastanza scioccante, il truffatore sostiene di aver raccolto tutti i vostri contatti e minaccia di inviare il video a tutti. Il truffatore promette di non diffondere il video e di far sparire tutto per la misera somma di mille dollari in Bitcoins. Tutto falso. Si tratta di un’altra serie di campagne di phishing inviate in massa, nella speranza di ingannare un numero di destinatari sufficiente a rendere redditizi gli sforzi del truffatore. L’e-mail è stata distribuita attraverso il botnet Necurs, un sistema di diffusione di molti malware.

Questo non vuol dire che sia impossibile accedere al vostro desktop o alla vostra webcam, ma è altamente improbabile che venga fatto nella modalità descritta dai truffatori. Probabilmente contano sul fatto che queste e-mail raggiungeranno utenti inconsapevoli. Proprio come con i destinatari che trascurano gli errori ortografici e grammaticali nelle truffe online a pagamento anticipato, così anche queste vittime trascurano o non comprendono i dettagli tecnici per capire che si tratta di un inganno.

Fake crowdfunding

Questa è forse la più spiacevole di tutte le truffe online, perché fa leva sulla volontà della gente di aiutare qualcuno nel momento del bisogno. I truffatori si inventeranno qualche storia commovente: hanno perso la casa, i genitori li hanno cacciati, hanno bisogno di costose cure mediche, e così via. Cercheranno anche di utilizzare siti web di crowdfunding. Ecco alcuni suggerimenti per aiutarvi a distinguere le storie false, da chi ha veramente bisogno del vostro sostegno.

È stata richiesta una donazione? Se si, c’è un ente di beneficenza direttamente coinvolto (con il loro logo sulla pagina) o si sta pagando una persona fisica? Se non conoscete quella persona, provate a verificare prima la sua campagna benefica.
Inoltre, la pagina deve essere molto chiara su come saranno spesi i soldi. Se non c’è alcuna menzione a riguardo, potrebbe essere un primo campanello d’allarme.
Infine, non accettate richieste di amicizie/contatto sui social media da parte di persone che non conoscete. Potrebbero cercare di coinvolgerti in una campagna malevola.

Smishing

Gli SMS sono sempre stati considerati lo strumento più sicuro per comunicare. Banche, poste e persino compagnie aeree utilizzano messaggi telefonici per inviare comunicazioni utili ai propri clienti. Negli ultimi anni però i criminali informatici hanno iniziato ad utilizzare proprio gli SMS come strumento per impossessarsi di dati sensibili e informazioni personali, dando vita al fenomeno denominato smishing.

Cos’è lo smishing?

La parola smishing deriva dall’unione di “SMS” e “phishing”: se nel phishing i truffatori inviano e-mail fraudolente per indurre gli utenti ad aprire un allegato contenente malware o a cliccare un link dannoso con l’obiettivo di impossessarsi di informazioni sensibili, come ad esempio password o dettagli bancari, nello smishing le modalità restano invariate ma ciò avviene via SMS.

Come funziona un attacco smishing?

I criminali informatici inviano alle potenziali vittime un SMS che sembra provenire da un destinatario legittimo come una banca, un ente pubblico o una delle app abitualmente utilizzate dall’utente. L’obiettivo di questi attacchi è quello di rubare informazioni personali o sottrarre denaro convincendo il destinatario dell’SMS ad accedere a un falso link e inserire, ad esempio, i dati della carta di credito o le credenziali di accesso a sistemi di pagamento online.

Ciò che rende questo tipo di cyber-attacco così pericoloso è la mancanza di consapevolezza e di prevenzione da parte degli utenti. Gli attacchi di phishing o di spam sono ormai molto comuni mentre gli SMS continuano ad essere considerati dagli utenti come uno strumento sicuro poiché vengono solitamente utilizzati per comunicazioni personali, notifiche bancarie o codici monouso per convalidare operazioni o accessi. È proprio per questo motivo che i criminali informatici li utilizzano come vettore per i loro attacchi.

“I cybercriminali usano gli SMS perché sono economici, possono essere programmati per l’invio in massa e i numeri di telefono sono facili da ottenere. Inoltre, il loro punto di forza rispetto alle e-mail fraudolente è l’ormai ridotto utilizzo da parte degli utenti. Si può pensare che con il tempo i cybercriminali siano stati in grado di accedere a gateway SMS compromessi per inviare i messaggi gratuitamente” spiega Marco D’Elia, Country Manager, Sophos Italia.

Per proteggersi da questo tipo di truffa vanno adottati alcuni accorgimenti, come suggerito dagli esperti di sicurezza di Sophos:

  1. Non fidarsi del mittente. Il mittente di un SMS può essere modificato per inserire ciò che i criminali informatici vogliono. È ancora molto difficile bloccare tutti i messaggi fraudolenti, quindi qualora non si sia assolutamente certi della fonte, meglio diffidare.
  2. Se viene espressamente chiesto di fare qualcosa, insospettirsi. Qualsiasi SMS che chieda di eseguire una particolare azione deve essere considerato sospetto. Se i messaggi di notifica sono innocui (“il tuo pacco è stato inviato”), meno rassicurante è un messaggio che inviti a compiere un’azione facendo leva sui timori dell’utente, come ad esempio il rischio che il proprio ordine venga cancellato o il proprio conto online chiuso.
  3. L’urgenza è un segnale di pericolo. Una tecnica molto comune, oltre a spacciarsi per fornitori di servizi autorevoli e credibili (posta, banca, ecc.), è l’urgenza. Negli attacchi di smishing le vittime vengono esortate ad agire immediatamente, riducendo al minimo il tempo per riflettere o per effettuare le opportune verifiche.
  4. Proteggere il proprio cellulare. Avere un sistema di protezione efficace installato sul proprio smartphone permette agli utenti di avvalersi di un ulteriore livello di sicurezza per bloccare questo tipo di attacchi. Le soluzioni di protezione gratuite, tra cui ad esempio Sophos Intercept X per mobile, forniscono protezione anti-malware, controllo della navigazione per bloccare l’accesso a siti web non sicuri i e il controllo degli SMS fraudolenti.
  5. Informarsi. Oltre a utilizzare strumenti che facilitino l’individuazione di attacchi dannosi, è fondamentale rimanere costantemente aggiornati per sapere quando e dove vengono colpiti maggiormente gli utenti.