Truffe online: come difendersi da email, SMS e link fraudolenti

I truffatori sono sempre esistiti e oggi più che mai proliferano grazie ad internet e ai social. Come sempre, i truffatori prendono di mira prima i tuoi dati personali e, in ultima istanza, il tuo portafoglio. Le crescenti tutele per la riservatezza dei dati sono completamente inefficaci a causa dell’impossibilità di governare il web e le sue infinite applicazioni.  Spetta quindi a noi “autotutelarci”? Davvero? Siete esperti di sicurezza informatica o avete ricevuto una formazione professionale su come riconoscere queste truffe? A ben vedere l’illusione dell’autotutela è esattamente la leva che hacker e criminali informatici sfruttano per ingannarci. I truffatori, infatti, utilizzano degli inneschi emotivi per attirarci nella loro trappola.

Vediamo quindi come e con quali strumenti si avvicinano a noi da remoto, per imparare a riconoscerli e, si spera, a ignorarli andando oltre.

Truffa tramite email - Phishing

Il termine phishing è ormai noto: deriva una storpiatura del verbo inglese “fishing”, cioè “pescare”. Si tratta di un’attività truffaldina che avviene tramite posta elettronica (e-mail). Nel phishing riceviamo un’e-mail molto curata nella grafica che sembra provenire da un mittente affidabile (email spoofing), ad esempio, dalla propria banca. Il messaggio ci richiede di svolgere un’azione precisa e ci offre l’opportunità di eseguirla in pochi click attraverso un link. In sostanza, ci richiedono di fare qualcosa di complesso e contemporaneamente ci semplificano la procedura con un link che ci consente di risparmiare molto tempo.

L’e-mail ci informa che vi sono comunicazioni importanti, ci viene richiesto di cambiare la password o ancora ci ricorda che è necessario caricare un nuovo documento d’identità. Segue poi un link fasullo che ci consentirà di accedere velocemente alla pagina ed eseguire l’azione richiesta. Utilizzando il link fasullo, i criminali potranno rubare le credenziali di accesso e utilizzarle poi sul vero sito internet, ad esempio quello dell'home banking, di Amazon, Facebook, etc.

Come proteggersi? 

I filtri antispam e altri strumenti, come il Registro delle opposizioni, sono sempre più efficienti e l’autenticazione forte del cliente avrebbe dovuto porre un ulteriore freno a queste truffe. Tuttavia, queste e-mail continuano a trarre in inganno molte persone. Per quanto sia allettante seguire le istruzioni ricevute e risparmiare tempo, è consigliato chiudere il messaggio ricevuto via e-mail e procedere attraverso altri canali: potete collegarvi direttamente al vostro account attraverso il sito web o l’app ufficiale e verificare di aver ricevuto una notifica o un messaggio simile (con lo stesso link).

Truffa tramite telefono - Vishing

Anche le truffe telefoniche (vishing o phishing vocale) mirano ad appropriarsi delle credenziali bancarie per poi sottrarre somme di denaro. Le persone vengono contattate telefonicamente da finti operatori di banca (o di altre società) che ci informano di “anomalie” (blocco o svuotamento del conto corrente). In sostanza, simulano un’emergenza da codice rosso e richiedono la collaborazione del cliente per avviare una procedura di sicurezza che porterà a fermare i criminali che stanno cercando di svuotare il tuo conto. Il cliente è trascinato in una situazione emergenziale e, nel suo stesso interesse, collabora quando i criminali chiedono esplicitamente di fornire le credenziali e i codici OTP (password temporanea) ricevuti dalla banca in quel momento. Solitamente le truffe telefoniche sfruttano anche la tecnologia messaggistica (SMS, whatsapp, ecc.) con messaggi di allarme per attirare le vittime a richiamare un numero dove risponderanno i criminali.

Come proteggersi? 

Difficile proteggersi perché i criminali fanno leva sulla nostra stessa natura psicologica ed emotiva. Ci sarà chi risponderà: “Bravi! Avete fatto bene a bloccare il conto perché non sono stato io a effettuare i pagamenti. Grazie del servizio.”. Altri tenderanno a collaborare con i criminali per fermare il cyber attacco e comunicheranno (ignari) le credenziali bancarie e qualsiasi altro dato richiesto. Si tratta della sindrome del supereroe (vedi sotto), ma in realtà comunicando i codici segreti, identificativi e dispositivi state aiutando i criminali a “portare via i vostri risparmi”.

Truffa tramite SMS - Smishing

Le truffe tramite SMS (Smishing, crasi di SMS e Phishing) utilizzano SMS falsi per raggiungere migliaia di utenti. Nei messaggi in genere viene richiesto all'utente di: aggiornare urgentemente il proprio account, viene promessa la possibilità di vincere premi o ricariche gratuite, oppure viene informato che un dispositivo non autorizzato è connesso al conto online; quindi, si invita l'utente a cliccare su un link. Se si clicca sul link si viene rimandati a pagine web fasulle di siti commerciali o di banche che appaiono identiche alle originali e da quel momento i nostri dati saranno in pericolo. Con queste operazioni i malintenzionati riescono a carpire ogni giorno migliaia di dati personali, incluse le credenziali d'accesso all’home banking (user id, password e PIN dispositivo). La peculiarità di questa tecnica di truffa sta nel fatto che, per ingannare gli utenti e indurli a cliccare sugli sms truffa, i criminali riescono a falsificare la loro identità facendo arrivare l’SMS direttamente dal numero ufficiale della banca o di qualsiasi altra società stiano simulando (tecnica dello spoofing).

Come proteggersi?

La cosa da sapere è che banche ed emittenti delle carte di pagamento non chiedono mai informazioni e dati sensibili via e-mail o SMS, quindi non cliccate sui link. La sicurezza informatica dei conti correnti non è mai subordinata ad un codice in possesso del cliente. Quindi basta ignorarli ma potete, se siete in preda all’ansia, chiamare di vostra iniziativa la banca (o l’emittente della carta) attraverso i canali ufficiali che trovate sul loro sito e mai attraverso altri numeri che potreste aver ricevuto via SMS.

Truffa tramite social - Deepfake

Imbattersi in un video messaggio registrato sfruttando in modo fraudolento l’immagine e la voce di un VIP, un politico o qualsiasi personaggio autorevole sarà sempre più frequente. Alcuni Social sono pieni di questi video, altri meno. La tecnologia che consente di clonare la voce di qualsiasi persona, anche defunta, esiste da molto tempo ma ormai è alla portata di chiunque a costi irrisori.

Come proteggersi?

Questi video si basano sull’immagine di personaggi autorevoli per diffondere messaggi ingannevoli che invitano ad arricchirsi facilmente in pochi click. Sfruttano collaudate tecniche psicologiche per indurvi a effettuare azioni con leggerezza e curiosità in momenti di debolezza emotiva o di relax sul divano (sulla propria pagina Social non si è mai concentrati). Andate oltre e non indugiate su questi video per nessun motivo. Sui social potete trovare vecchi amici, seguire le pagine dei VIP che preferite e sponsorizzare la vostra attività. Poco altro, fatene un uso consapevole.

Truffa tramite WhatsApp / Telegram - Truffa dei like

Vi potreste essere già imbattuti in questa tipologia di schema: i truffatori ti scrivono personalmente o creano dei gruppi con decine di persone su WhatsApp (Telegram o altri programmi di messaggistica) e iniziano a inviare messaggi che promettono facili guadagni, basta cliccare “like!” a qualche post sui social, o basta scrivere qualche recensione di gradimento a determinati prodotti, e il gioco è fatto: ricevete denaro per questa attività. “fino a 800 € al mese!” Tutto credibile? No, ma molti pensano che anche se fossero 100 € al mese non sono mica da buttar via. Questa truffa cerca di sfruttare l’influenza del “Pensiero di Gruppo” che ci induce a riporre fiducia nel comportamento degli altri: Tutti aspettano di osservare come reagiranno gli altri e poi decideranno di conseguenza.

Come proteggersi?

Abbandonare immediatamente il gruppo WhatsApp, su questi tavoli vale la legge del tavolo da poker: “Se nella prima mezz'ora non capisci chi è il pollo, allora il pollo sei tu.” Chi resta collegato e legge la conversazione, evidentemente incuriosito dai facili guadagni, sarà segnato come un potenziale “pollo da spennare” e tutte le attenzioni dei criminali, attraverso collaudate tecniche di persuasione, si concentreranno sui pochi rimasti collegati alla chat.

Truffa tramite QR Code - Quishing

Creato negli anni '90, l'uso del codice "Quick Response" è esploso con la crisi sanitaria e la necessità di un'autenticazione contactless. Oggi ci fornisce molti servizi: convalida di un biglietto di trasporto, di un biglietto del cinema, di un pagamento, ecc. Proliferando su imballaggi ed espositori di ogni tipo, offre anche un rapido accesso a informazioni utili su un prodotto o un servizio. Con una tale presenza e facilità d'uso, il piccolo quadrato pixelato non poteva che essere vittima della sua popolarità e attirare truffatori avidi di soldi facili. Non preoccuparti: scansionando i codici QR in modo consapevole, e con gli strumenti giusti, puoi solo tenere a bada i rischi.

Che cos'è il quishing?

"Quishing" deriva dalla contrazione dei termini "codice QR" e "phishing". Si tratta di una truffa in cui un hacker crea un codice QR dannoso e ti induce a scansionarlo con il tuo smartphone. Possono metterlo in un luogo pubblico, pubblicarlo sui social media o inviartelo tramite messaggio. Cercherà di convincerti fingendo di essere attraente o importante, promettendo uno sconto in un negozio, un follow-up su un pacchetto, un aggiornamento per il tuo telefono o una delle sue applicazioni. Quando scansioni uno di questi codici QR dannosi potresti essere reindirizzato a un sito di phishing che cercherà di estorcerti i tuoi dati preziosi. In altri casi, la scansione del codice avvierà il download e l'esecuzione di un'applicazione con scopi altrettanto dannosi.

Come proteggersi?

Considera i codici QR con la stessa cautela dei link sconosciuti che ricevi tramite messaggio. Ignorarli quando la loro fonte è oscura o completamente sconosciuta non è sufficiente. Raramente la fonte apparirà oscura o sconosciuta e quindi è opportuno ignorare il QR code ogni qual volta è esposto in un luogo aperto facilmente accessibile ai truffatori. Come per gli ATM (bancomat) bancari, utili per il prelievo di contanti, è assolutamente consigliato evitare quelli esposti al passaggio del pubblico e cercarne uno collocato all’interno dei locali commerciali e monitorati da un circuito di videosorveglianza. Scegli uno scanner che visualizzi in anteprima l'indirizzo web collegato al codice e ti permetta così di assicurarti che il link sia legittimo prima di aprirlo. Questo è il caso dell'app Fotocamera dell'iPhone e della funzione Scansiona codice QR su Samsung. Se l'URL contiene errori di ortografia o non sembra portare a un sito ufficiale, non fare click.

Consigli utili per evitare le truffe online

Al giorno d’oggi non è semplice evitare di cadere in queste trappole. I ritmi di lavoro sempre più serrati spingono verso lo sfruttamento degli automatismi mentali e a fine giornata la lucidità scarseggia. Chiunque è quindi vulnerabile a questi attacchi. Eppure, è possibile sfruttare altri automatismi come dei “limiti invalicabili” per proteggerci.

Non reagire a caldo

Se vi contattano telefonicamente, prendete tempo e chiedete conferma cartacea di quanto detto senza comunicare la vostra e-mail o il vostro indirizzo civico: tutte le società con cui abbiamo rapporti hanno, oltre al nostro numero di telefono, anche la nostra e-mail e il nostro indirizzo. Solo se vi viene comunicato il vostro indirizzo e-mail corretto potete confermarlo, ma se vi chiedono la vostra e-mail è allarme rosso.

Non comunicare mai i tuoi dati sensibili

PIN e password sono segrete, cioè vanno custodite e non possono essere comunicate ad anima viva. Chiunque vi chieda di comunicarli è in malafede. Non lasciatevi trascinare dal panico e ricordatevi che, comunicando questi dati a uno sconosciuto, violate le norme contrattuali che regolano i rapporti con qualsiasi società. Anche i codici che avete ricevuto (via WhatsApp, SMS, o qualsiasi altro canale) non devono essere assolutamente comunicati perché potrebbero essere codici “dispositivi” per far uscire denaro dal vostro conto o codici di “autenticazione” per autorizzare il trasferimento del controllo di un vostro account ad un altro dispositivo in possesso dei criminali.

Non seguire le istruzioni dei messaggi

Se si riceve un messaggio di allarme (SMS, e-mail o altro) e non si riesce a ignorarlo, meglio contattare la società di propria iniziativa sfruttando i canali ufficiali e non quelli comunicati nel messaggio. Mai seguire le istruzioni ricevute per nessun motivo.

Come difendersi e recuperare i soldi dopo una truffa online

Se hai ricevuto un SMS sospetto o hai subito una truffa online, è fondamentale agire prontamente per proteggere i tuoi dati e il tuo denaro. In questo articolo ti spieghiamo i passi da seguire per segnalare l'accaduto, ottenere il rimborso delle somme sottratte e quali sono i tuoi diritti in caso di frodi bancarie. Scopri come muoverti tra segnalazioni, reclami e ricorsi, e difenderti dalle truffe digitali.

• Se hai ricevuto un SMS sospetto, la prima cosa da fare è inviare una segnalazione alla Polizia postale e alla tua banca, eviterai così che altre persone possano cadere nella trappola;
• Se hai subito una perdita economica a causa di una truffa, è meglio segnalare il tutto alla Guardia di Finanza, che a sua volta coinvolge la Polizia postale nelle indagini.
• Ricorda che la banca è sempre responsabile dei malfunzionamenti dei propri sistemi: questo significa che non può addebitare al cliente gli utilizzi fraudolenti della sua carta o dell'home banking (a meno che non venga dimostrata la colpa o il dolo del cliente);
• Nel caso di truffa in cui risultino disposti bonifici fraudolenti o effettuati pagamenti dal tuo conto online o dalla tua carta, dopo averli bloccati fai subito un reclamo per iscritto alla banca o all'emittente della carta e chiedi il rimborso delle somme addebitate frutto di truffa;
• Se la banca non risponde entro 15 giorni lavorativi dal ricevimento del reclamo o se risponde negativamente, non rimane che fare un ricorso all'Arbitro bancario e finanziario.

Leggi anche la nostra analisi sullo spot Google Chrome e scopri perchè è pericoloso e la nostra news sui dati sottratti a Synlab e diffusi nel dark web.

Ti serve aiuto? C'è Altroconsumo

Se sei stato vittima di una truffa online, oppure ti serve assistenza per fare una segnalazione alla polizia postale o per rivolgerti all'ABF, ricordati che i consulenti di Altroconsumo sono a tua  disposizione. Puoi richiedere una consulenza giuridica compilando il form che troverai premendo il bottone qui sotto: un consulente legale di Altroconsumo ti ricontatterà per fornirti tutta l'assistenza di cui hai bisogno.

Richiedi adesso una consulenza legale