Clicca per visualizzare l’infografica (via www.truffa.net)
Phishing e pandemia Covid-19
Con la pandemia da Coronavirus sono cambiate le abitudini di milioni di lavoratori in tutto il mondo. Il lockdown ha costretto le persone a casa e di conseguenza imprese e aziende hanno scelto la via dello smart working. Lavorando dalla propria abitazione, milioni di dipendenti si sono ritrovati a utilizzare i propri dispositivi elettronici personali, spesso non protetti dai sistemi di sicurezza informatica ad alta protezione che forniscono le aziende. Così sono aumentate anche le truffe online. I rischi di phishing, vale a dire una truffa realizzata sulla rete Internet attraverso l’inganno degli utenti che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli, ha visto un incremento di casi nei lavoratori che accedono alle reti aziendali da remoto.
Secondo gli ultimi report, gli attacchi di phishing mobile aziendale sono aumentati durante la pandemia Covid-19, salendo del 37 per cento tra l’ultimo trimestre del 2019 e il primo trimestre del 2020. Ma vediamo nello specifico in che cosa consiste questo tipo di truffa con l’aiuto delle indicazioni fornite dalla Polizia Postale.
In genere si tratta di mail, solo apparentemente provenienti da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un link che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.
La capacità degli hacker di frodare gli utenti della rete sta diventando impressionante: le truffe online stanno aumentando a un ritmo vertiginoso e sono sempre più complesse da individuare. La Polizia Postale e delle Comunicazioni è molto netta, a riguardo, e parla di una continua crescita di questi reati, arrivati a toccare le 196mila segnalazioni nel solo 2019, con fascicoli aperti su 3.730 persone. L’Italia è uno dei paesi più colpiti da questo fenomeno: siamo infatti quinti nella triste classifica, dietro a Spagna, Guatemala, Brasile e Canada. Il comparto preso maggiormente di mira è quello bancario, ovviamente, ma si sono registrati casi di phishing su Poste Italiane e sull’Agenzia delle Entrate. Le stime sulle perdite derivate da questo tipo di reato non sono precise, ma si parla di circa 10 milioni di euro all’anno.
Phishing, il caso delle mail truffa dalla Agenzia delle Entrate
Tra le più recenti truffe in rete individuate in Italia c’è quella segnalata dalla Agenzia delle Entrate che, con un comunicato stampa del 22 settembre, ha messo in guardia i contribuenti. Il tentativo di phishing consiste in email che sembrano essere riconducibili all’ente. A tal proposito l’Agenzia fa sapere di essere “estranea a tali messaggi ed invita gli utenti a cestinare immediatamente messaggi di posta elettronica”. Le e-mail riportano nell’intestazione la dicitura “Il direttore dell’Agenzia” o “Gli organi dell’Agenzia” e nel testo, invitano a prendere visione di documenti contenuti in un archivio allegato per verificare “alcune incoerenze” emerse “dall’esame dei dati e dei saldi relativi alla Divulgazione delle eliminazioni periodiche Iva”.
Entrambe le email, estranee all’Agenzia, invitano il destinatario a visionare dei documenti in allegato per verificare alcune “alcune incoerenze” emerse “dall’esame dei dati e dei saldi relativi alla Divulgazione delle eliminazioni periodiche Iva”. Ma è tutto falso. Il consiglio è quello di cestinare l’email senza aprire allegati o seguire link di collegamento. Lo scopo di questi tentativi di phishing è infatti quello di installare un malware che ruba i dati sensibili dei contribuenti.
Come difendersi dalle truffe in rete e come proteggersi dal phishing
Il modo migliore per proteggersi dal phishing è la cautela: diffidate dei messaggi che vi chiedono di fornire informazioni personali, perché nessuna istituzione vi chiederà mai queste informazioni per telefono o e-mail, e neppure vi sarà richiesto di verificare così la vostra identità.
Prestate sempre la massima attenzione all’indirizzo del mittente della mail: qualora fosse, per esempio, la vostra banca, vi consigliamo di contattarla per verificare l’autenticità della e-mail prima di compiere qualsiasi altro passo.
Per quanto riguarda il corpo dell’e-mail, eliminate quelle che utilizzano saluti standard non personalizzati, o che contengono errori di ortografia o sintassi. È importante non cliccare su link o scaricare allegati da e-mail sospette e diffidate dei messaggi che contengono promesse di regali o offerte speciali. Infine, assicuratevi che le pagine a cui accedete utilizzino il protocollo di sicurezza https, poiché ciò significa che le informazioni vengono inviate in modo privato e sicuro, e di creare password sicure per i vostri diversi account.
Nel caso in cui foste caduti nella trappola della mail ingannevole, dovete immediatamente rivolgervi alla vostra banca per bloccare il conto, informare la banca o la società per cui si spacciava il criminale, del phishing: in questo modo i soggetti coinvolti potranno adottare le misure necessarie e infine rivolgetevi ad un avvocato specializzato in frodi online.