Dal phishing in poi: 13 trucchetti usati dai truffatori su internet

Argomenti trattati:
Pubblicato il: 25 Febbraio 2021

La criminalità organizzata non poteva non coinvolgere anche la parte informatica e connessa ad internet del mondo in cui viviamo: solo nel 2019, ad esempio, sono stati riportati 9000 crimini informatici con denunce a carico di 468 persone. Le strategie messe a punto per truffare sono sempre più elaborate e difficili da immaginare, e solo con un po’ di consapevolezza dei propri mezzi (e di conoscenza delle tecnologie) sarà possibile arginare, un po’ per volta, il fenomeno.

Ma quali sono gli stratagemmi più frequentemente utilizzati dai truffatori online? Abbiamo provato a chiedercelo in questo articolo, identificandone 13 diversi. Non sono i soli, ma sono una buona base da tenere in considerazione per limitare o evitare le varie truffe online.

Domini internet con mispelling

La tecnica è meno diffusa di qualche anno fa ma a volte sopravvive; soprattutto quando ci sono siti molto visitati, i truffatori costruiscono ed aprono domini dal nome molto simile, in modo che uno – leggendo di fretta – non si accorga della differenza. Un esempio potrebbe essere, per intenderci, micrososft.com oppure troval0st.it (con un numero 0 al posto della seconda ‘o‘): casi del genere, molto subdoli, addirittura a volte non erano nemmeno distinguibili ad occhio nudo (attacchi omografici, come vengono chiamati usualmente) e si richiedeva di analizzare il dominio per altre vie.

SMS Marketing - Skebby

Invia SMS pubblicitari a basso costo - I primi 10 invii sono GRATIS!

Registrati su Skebby

Verifica sempre, pertanto che il certificato sia valido ed intestato al nome del sito, e che sia presente un certificato valido e che, soprattutto, l’URL sia digitato in modo davvero corretto. Non fidarti del primo risultato che esce cercando il sito su Google, tra l’altro, perchè a volte spammano anche lì.

Non usare password banali – e non riciclarle

Usare password come la data di nascita è sempre una pessima idea, e anche riutilizzarle per più servizi per fare prima. I sistemi più avanzati ti avviso, se casomai stessi facendo qualcosa di imprudente con la tua password, ma purtroppo non tutti lo fanno. Attenzione perchè i truffatori spesso le provano tutte, un po’ per volta, le password, e potrebbero violare il vostro account indovinandola per caso ed in base ad un semplice calcolo probabilistico.

Ad oggi, conviene usare sempre le password integrate con firma digitale o con autenticazione a due fattori.

Ancora oggi per molti di noi è un problema gestire tutte le password dei propri siti web; ricordarle tutte è difficile, ma si possono usare dei gestori di password, ad esempio! Non dovresti mai impostare password troppo facili da ricordare (perchè sono anche altrettanto facili da indovinare), e non riutilizzare la stessa password su più servizi.

Micro-transazioni su carta di credito

Molti casi di furto con carte di credito, anche da quello che mi suggerivano vari esperti anni fa, avvengono con microtransazioni di circa 5 o 10€ che “sparano nel mucchio” sperando che il proprietario non ci faccia caso. Col tempo, ovviamente, le somme derubate si accumulano!

In questo caso ci sono vari suggerimenti utili da tenere presenti: controllare periodicamente i movimenti sulla propria carta, usare una carta di credito prepagata per gli acquisti online, ricaricarla all’occorrenza e lasciarla vuota quando non usata, bloccare le transazioni con carta così come è possibile fare coi conti più moderni, direttamente da app, come HYPE. E ovviamente non divulgate in alcun modo il PIN ed il fronte-retro della vostra carta.

Phishing sempre più elaborato

Uno dei primi mezzi usati dai truffatori sono le email di phishing: consiste nell”inviare e-mail mirate al fine di spingerti a condividere informazioni riservate, anagrafiche, finanziare (es. dati della carta di credito) o password. Nonostante sembri roba di poco conto, può diventare un attacco informatico molto sofisticato. Se una volta queste email erano facili da riconoscere per via di errori ortografici o grossolani, ad oggi molte email del genere ingannano anche gli utenti più esperti – soprattutto perchè aggirano i controlli antispam scrivendo il testo con riferimenti personali (nome, cognome, titolo professionale) e mascherando spesso i link con la tecnica delle anchor text fasulle. I link testuali cliccabili, in parole molto povere, sono scritti ad arte per ingannare i meno pratici: cosa sempre possibile, perchè ad esempio uno rende cliccabile nomebanca.it ma poi, se ci andate a cliccate, andate a finire su un sito completamente diverso. La cosa ancora più subdola consiste nel fatto che i siti destinazione, per quanto siano diversi, sono spesso clonati da sembrare quelli originali. La cosa importante quindi è controllare sempre i certificati SSL dei siti, cliccando nel browser sul lucchetto verde, diffidare dal sito se è scritto in modo strano oppure se il lucchetto verde non appare / appare barrato.

Puoi individuare le email di phishing rilevando URL errati o insoliti (passa il mouse sui link per vedere l’effettivo indirizzo URL, da Firefox, e non cliccare mai: potresti ricevere un malware anche solo per aver cliccato, in ceeti casi), ed evita anche di aprire gli allegati, anche se dovessero arrivare da persone apparentemente fidate.

Navigazione ingannevole

Un numero crescente di attacchi informatici continua ad arrivare con logica “download guidati”, della serie: visiti un sito web che sembra ufficiale e perfettamente funzionante, ma in realtà anche solo facendo login regali i tuoi dati personali al primo criminale che incontri. Il tutto avviene mediante redirect successivi, di cui l’utente non si accorge e che, ad esempio, possono riguardare un risultato di ricerca che punti ad un sito indicizzato su Google, apparentemente affidabili, che pero’ porta gli utenti ad un sito malevolo (ad esempio solo quelli che usano uno smartphone Android per navigare).

La cosa ulteriormente subdola di questi attacchi, peraltro, è che i siti cattivi cambiano in continuazione, nonostante antivirus e motori di ricerca abbiano varie blacklist o “liste nere”, proprio per evitare di mostrarli accidentamente tra i risultati.

Per evitare trappole di questo tipo, assicurati sempre di installare tutti gli aggiornamenti disponibili sul tuo browser, o  (meglio ancora) di utilizzare un browser che si aggiorna automaticamente, tipo Firefox o Chrome. In genere gli utenti che usano browser più vecchi sono molto più esposti a questi attacchi rispetto a chi usa browser aggiornati. L’uso di una protezione con VPN, inoltre, può fungere ulteriormente da “scudo” in questi casi.

Router che usano crittografia vecchia (WEP)

I router nuovi non hanno questo problema, ma quelli vecchi purtroppo sì: e se qualcuno riesce a scoprire la password WEP, può accedere ad internet con la vostra utenza a vostra completa insaputa. Anche qui vale lo stesso ragionamento del punto precedente: meglio usare WPA2 (Wi‑Fi Protected Access 2) o, almeno, WPA.

Se il router non è vecchissimo, provate a verificare se siano disponibili aggiornamenti del firmware per aggiornarlo ad una crittografia più potente e recente.

Tecniche Brute force

Gli attacchi di forza bruta (brute force) sono semplici e spesso, purtroppo, efficaci: prendono un dizionario di possibili password, e le provano tutte finchè non riescono ad entrare nella mail o nel sito per tentativi. Molte sono le contromisure attuabili in questi casi, e per quanto funzionino (firewall, plugin per la sicurezza, password cambiate periodicamente per politica aziendale) le password finiranno per essere col tempo un paradigma superato. Soprattutto perchè se è vero che ci vorrebbero anni per indovinare password complicate, con i computer quantistici questo limiti potrebbe essere abbattuto, e basteranno poche ore – sempre in teoria, ovviamente – ad indovinare password a tentativi.

Non usare password facili da indovinare: meglio una frase lunga, con lettere numeri e simboli non alfabetici. Evita di riutilizzare le password di altri servizi e non inserire cose troppo scontate o facili da indovinare. Altra cosa che non fa quasi mai nessuno: cambia spesso le tue password, e memorizza in un password manager tutte quelle dei servizi principali che usi online.

Uso improprio del Bluetooth

Nonostante l’app Immuni – e molte altre – facciano uso del bluetooth ed obblighino gli utenti a tenerlo sempre attivo, può diventare (in particolare su vecchie versioni degli smartphone, che usano altrettanto vecchie versioni di BT) un vettore di attacco per malware e virus. Qui bisognerebbe disattivarlo, ma la prassi attuale dal 2020 in poi impedisce di poterlo fare: un bel dilemma, considerando che ci sarebbe in ballo la nostra salute e che usare app di tracciamento anti covid sarà quasi sicuramente indispensabile anche in futuro.

La logica potrebbe essere quella di evitare telefoni poco aggiornati, e di fare in modo di usare il bluetooth quantomeno in modalità intermedia come visibilità.

Fingere di essere qualcun altro

Potreste ricevere una mail “spoofata“, ovvero con un mittente falsificato, che potrebbero sembrare la vostra banca, un istituto di credito e così via. È chiaro che bisogna imparare a diffidare da queste email, considerando che è molto improbabile che una grossa realtà vi contatti via email, soprattutto per richiedere dati riservati di accesso di qualsiasi genere. Può capitare una cosa del genere anche da parte di fantomatici uffici legali, società di recupero credito e via dicendo; la prima cosa da tenere conto è ricordare che la mail non ha alcun valore legale, anzitutto, e la seconda è che non bisognerebbe dare credito alle email minacciose in nessun caso, facendone eventualmente segnalazione alle autorità.

Nessuna azienda ti chiederebbe mai le informazioni riservate o le password del tuo account, peraltro in chiaro o via telefono o email. A volte puoi individuare questo tipo di truffa anche da solo, passando con il mouse sopra l’indirizzo nel campo Da e facendo attenzione all’email che effettivamente ha inviato. Tieni conto che quel campo è falsificabile, anche molto facilmente, per cui facciamo attenzione.

Video-clickbait su Facebook

Per quanto non sia una cosa frequentissima adoggi, molte truffe online partono dalla diffusione di un video shockante o dal titolo clickbait su un social (Facebook, ma anche Twitter), cioè che invoglia al click per curiosità (spesso morbosa). Il problema è il click sui link di questi video possono portare malware o trojan nel tuo computer, con conseguenze che potrebbero diventare visibili anche molti giorni dopo il click.

Per essere sicuro che il video sia autentico e valga la pena vederlo, prova a cercare il titolo del video su Google: se è una truffa, è plausibile che qualche sito antibufala ne abbia parlato.

Software non aggiornati

Vale a qualsiasi livello: app, siti web, software che usiamo per lavoro, specie se connessi ad internet mentre lo facciamo, devono essere tassativamente sempre aggiornati all’ultima versione, in modo da evitare rischi informatici legati a virus e malware. In molti casi, le app in questione possono essere imitazioni di quelle originali oppure falsi aggiornamenti di Windows, posti lì per creare problemi o bloccarvi il computer in seguito.

Skimmer sui bancomat

Questa tecnica di truffa è molto famosa: inseriscono un pannellino con un microchip wireless sovrapposto al buco in cui si inserisce la carta di credito in un ATM (bancomat). Questo aggeggio legge i dati della carta e li invia al truffatore quando provate a prelevare: non funziona con qualsiasi carta di credito, ed è una cosa che è capitata un paio di volte sia in Europa che negli USA fino a qualche anno fa.

Pagare con carte per app fake

Sul web sono diffuse varie app che clonano le funzionalità di app a pagamento, e che vi vengono offerte a pochi euro rispetti ai costi delle app originali. Il problema di queste app è che a volte neanche funzionano, e che richiedono pagamenti con carta da fare all’interno delle app: questo crea presupposti ideali per i truffatori, che possono così clonarvi la carta o prendere più soldi di quelli che vi dicono di prendersi.

Evitate di installare app non ufficiali, e fate sempre attenzione a come inserite i dati per i pagamenti.

5/5 (2)

Che te ne pare?

Grazie per aver letto Dal phishing in poi: 13 trucchetti usati dai truffatori su internet di Salvatore Capolupo su Trovalost.it
Dal phishing in poi: 13 trucchetti usati dai truffatori su internet (Guide, Internet)

Articoli più letti su questi argomenti:

Mi dispiace. Nessun dato finora.