Le truffe più comuni finiscono in ishing

Sempre più diffuse le truffe volte a trafugare i dati: smishing,  phishing,  vishing.

Recentemente L’Agenzia per la cybersicurezza nazionale ha lanciato l’allarme smishing. È stato infatti rilevato l’invio di SMS con finalità “apparentemente lecite” agli utenti di Libero e Virgilio sfruttando l’indisponibilità di tali servizi e-mail per carpire informazioni sensibili dalle potenziali vittime.

La tecnica è sempre quella di adescare i malcapitati attraverso l’invio di sms, all’apparenza credibili ed affidabili,  al solo fine di convincerli a  cliccare sui link allegati alla mail o all’ sms o più semplicemente a comunicare  informazioni riservate di qualsiasi natura. Il tutto naturalmente con finalità truffaldine.

Ricordiamo, infatti, che tutti i dati  possono essere sottratti ed utilizzati con finalità illecite. Non solo le credenziali bancarie ma anche i semplici dati presenti sul pc possono essere letteralmente “oscurati e trattenuti in ostaggio” fino al pagamento di un riscatto in denaro che, comunque, non ne garantisce l’integrità.

Come difendersi da questi comportamenti truffaldini che non viaggiano solo su web?

Prima di iniziare a descrivere le più comuni tecniche di  attacco e adescamento impiegate dagli hacker dobbiamo specificare che le truffe volte a trafugare i dati non viaggiano solo su web.

Al momento esistono tre tecniche di attacco che si differenziano solo per il mezzo impiegato per ingaggiare la vittima.

Si tratta di:

• smishing (ossia “SMS phishing”)  che utilizza i messaggi WhatsApp o SMS;
• phishing  che sfrutta le  email;
• vishing che  utilizza telefonate.

Lo scopo è sempre il medesimo: truffare il destinatario inscenando una situazione di emergenza che lo induca a cliccare su un link oppure a comunicare le password di un account così da consentire l’accesso ad informazioni  riservate o all’intero database del pc.

E tutto questo solo attraverso una comunicazione all’apparenza perfettamente credibile.

Gli standard stilistici sembrano essere quelli della banca o della Posta o di Libero, per fare solo alcuni esempi, con la perfetta riproduzione di loghi e indirizzi di riferimento. Il tono delle comunicazioni è sempre il medesimo.

Le hanno bloccato l’account, non avrà più accesso alla sua posizione, non potrà più utilizzare il suo account mail. Situazioni tutte che mettono in allarme il destinatario e che, inevitabilmente, abbassano il suo livello di guardia.

Ed è proprio su questo che contano i truffatori per mettere a segno le loro attività.

Come possiamo difenderci dalla truffa in – ishing?

Poche semplici mosse per neutralizzare smishing,  phishing,  vishing  e qualunque altra pratica illecita  in – ishing

Innanzitutto  verificate sempre la  provenienza della comunicazione mail o sms. Si potrebbe trattare di un tentativo di truffa. A tal proposito sono le stesse Banche che informano i clienti di non richiedere mai la comunicazione delle credenziali di accesso via mail o sms.

Qualora abbiate dei dubbi circa la riconducibilità del messaggio al presunto mittente contattatelo direttamente per chiedere conferma.

Non fatevi ingannare dalla fretta con cui vi viene chiesto di agire.

Ricordate mettervi in allarme  è solo un espediente per impedirvi di essere lucidi e ragionare.

Successivamente è fondamentale accettarsi  dell’autenticità  del  link su cui  si viene invitati a cliccare perché potrebbe essere un indirizzo (URL) falso, ovvero un clone del sito vero, a cui si verrà dirottati per acquisire le credenziali e/o infettare con un virus il pc.

Come riconoscere un link fraudolento

Verificare  se il domino- cioè il nome del sito indicato al link- qualora sia visibile- esiste davvero ed a cosa corrisponde.

Niente di più facile.

Basta cercarlo sui motori di ricerca ( Google, Bing, Virgilio, etc).

Questa semplice verifica vi salverà dal cliccare su un indirizzo molto simile a quello reale ma che non è proprio identico. Basta cambiare anche una sola lettera per dirottarvi al sito fraudolento.

Se il dominio non è visibile e leggete solo la parola link. Niente paura esiste l’anteprima che rivela l’indirizzo cui punta il link. È sufficiente posizionare la freccetta del mouse sopra il link senza cliccare. Si aprirà una finestra nella quale sarà visibile la composizione dell’indirizzo celato dal link. 

Cosi avrete la possibilità di verificare sui motori di ricerca se il sito esiste, se è corretto e non alterato ed a chi appartiene realmente. 

Ma non siete ancora salvi!

È possibile infatti che l’indirizzo sia apparentemente corretto, corrispondendo in parte a quello del presunto mittente ma che sia stranamente lungo e contenga questo simbolo: la chiocciola “@” seguito da caratteri numerici o esadecimali.

In questo caso sarà quasi sicuramente un link fraudolento.

L’inserimento della  chiocciola “@”   è un’espediente  che i truffatori usano per impedire al browser di navigazione di “ leggere” l’indirizzo scritto prima di tale simbolo. Quindi  l’indirizzo cui verrete condotti sarà quello riportato dopo  la “@” che, purtroppo, è  l’indirizzo pirata.

Quindi controllate sempre la composizione dell’indirizzo del link prima di cliccarci su!

Un pò di sana diffidenza aiuta a neutralizzare le più comuni tattiche fraudolente

Per qualsiasi chiarimento non esitare a contattarci