Informazioni per le vittime di frode informatica

Truffe online: cosa succede e come difendersi.

Le Tecniche

La Social Engineering (cd. “ingegneria sociale”) è una forma di manipolazione psicologica che coinvolge l’uso di abilità comunicative e psicologiche per ottenere informazioni, dati o comportamenti da parte di altre persone.

Gli “ingegneri sociali” cercano di sfruttare la naturale propensione umana a fidarsi e cooperare con gli altri, al fìne di ottenere ciò che desiderano.

Questa tecnica non implica l’uso di vulnerabilità tecnologiche o di sistemi informatici, ma si concentra principalmente sulla manipolazione delle persone stesse.

Gli ingegneri sociali possono sfruttare la buona fede, la curiosità, la paura, la gentilezza, la fretta o la mancanza di consapevolezza di una persona per ottenere informazioni sensibili o per indurla a compiere azioni che potrebbero essere dannose per la sicurezza personale o dell’organizzazione cui appartiene.

Gli obiettivi

  1. Acquisizione di informazioni sensibili: i malintenzionati cercano di ottenere dati personali, credenziali d’accesso, informazioni aziendali riservate o altre informazioni sensibili per compiere azioni dannose.
  2. Accesso non autorizzato: gli aggressori cercano di accedere in modo fraudolento a sistemi, reti o dispositivi.
  3. Diffusione di malware: l’“ingegneria social” può essere utilizzata per convincere le persone a scaricare ed installare software dannosi sui loro dispositivi.
  4. Trasferimento o appropriazione di denaro: i malviventi possono cercare di convincere le vittime a trasferire denaro o risorse, spesso simulando di essere soggetti noti e fidati o possono compiere direttamente operazioni dispositive, grazie alle informazioni ottenute dalle vittime.

Phishing, smishing e vishing

Tra le innumerevoli tipologie di truffe online, il “Phishing” occupa senz’altro uno dei primi posti, per frequenza e capacità lesiva, anche in considerazione dell’uso di avanzate tecniche di “ingegneria sociale ”, attraverso le quali la persona offesa viene indotta a fornire informazioni personali, dati sensibili e codici di accesso o a cliccare su link fraudolenti.

Uno dei casi più ricorrenti coinvolge gli utilizzatori dei servizi di home banking, con un modus operandi che si sviluppa, in genere, attraverso due distinti passaggi:

  • l’iniziale creazione di una o più pagine web identiche al sito di un determinato istituto bancario, capaci, quindi, di trarre facilmente in inganno gli utenti;
  • l’invio massivo di e-mail ad una pluralità di destinatari (qualcuno dei quali sicuramente “abboccherà”), utilizzando liste di indirizzi di posta elettronica precedentemente acquisite con vari metodi, spesso illeciti (ad es. attraverso il dark web), con le quali, sostituendosi all’istituto bancario, viene chiesto di effettuare l’accesso al proprio servizio di home banking, con la scusa di verificare i dati personali o con altri espedienti in apparenza plausibili (compresa, ad esempio, la prospettazione di operazioni rischiose e sospette, che è necessario bloccare per la sicurezza dell’utente stesso). All’interno dell’e-mail è di solito presente un link al sito del falso istituto bancario, che, in realtà, rimanderà allo spazio web utilizzato dal phisher.

Quando l’utente, cliccando sul predetto link, inserirà i dati di accesso, questi verranno inviati al phisher, che sarà in grado, in breve tempo, di accedere al conto del malcapitato e di effettuare le operazioni necessarie per sottrarre il denaro presente.

Oggi esistono anche virus, contenuti in genere all’interno di allegati alle e-mail ricevute, capaci di far pervenire ai malviventi le credenziali di accesso ai servizi di home banking. Una volta che l’allegato viene aperto, il virus, infatti, si installa automaticamente nel dispositivo della vittima e rimane “silente” fino a quando la stessa non accede ai servizi di home banking.

Molta attenzione deve essere prestata anche ad e-mail apparentemente provenienti da soggetti istituzionali, come l’INPS, le Forze dell’Ordine, l’Agenzia delle Entrate o la Banca d’Italia, con cui viene richiesta, adducendo innumerevoli e diversificati pretesti, la compilazione di “ form” con inserimento di dati personali o anche il pagamento di ipotetiche multe per violazioni mai commesse dagli utenti.

Inoltre, accade spesso che e-mail ed SMS siano inviati da falsi corrieri, che rappresentano l’impossibilità di consegnare un pacco (con varie scuse, come un indirizzo non valido), chiedendo all’utente di cliccare su un link contenuto nel messaggio, che come sempre si rivelerà malevolo.

Il “Phishing” si è progressivamente evoluto nello “Smishing” (parola che deriva dall’unione della sigla “SMS”, ossia messaggio di testo inviato tramite cellulare “phishing”) e nel “Vishing” (ossia, “voice” e “phishing”, tecnica che consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale il finto operatore di un istituto di credito o, ad esempio, di Poste Italiane S.p.a., attraverso raggiri ed argomentazioni capziose, la persuade a fornire i codici dispositivi del proprio conto corrente).

Il nuovo sistema di raggiro delle vittime, che mira sempre all’acquisizione illecita di codici dispositivi e dati riservati, si sviluppa inizialmente mediante l’invio di falsi SMS di servizi bancari o di altro genere, originati da utenze telefoniche identiche a quelle dello stesso istituto di credito o del fornitore di un determinato servizio. I messaggi in questione, usando utenze con numeri uguali a quelli dell’istituto di credito già memorizzati nel dispositivo della vittima, non vengono riconosciuti dal software dello smartphone e quindi vengono automaticamente collocati in coda ad altri messaggi autentici in precedenza ricevuti. Ciò induce le ignare vittime, convinte della veridicità delle richieste, a rilasciare i dati di accesso e di autenticazione dell’home banking o altri codici e dati riservati, cliccando sul link malevolo che produrrà gli effetti già in precedenza descritti. In molti casi, avendo perfezionato le tecniche di aggressione ai danni della vittima, i malviventi sono in grado di simulare un malfunzionamento della pagina, che non permette la prosecuzione della procedura di accesso ai servizi di home banking, avvisando l’utente che sarà a breve contattato da un operatore per la risoluzione dei problemi. Effettivamente, dopo pochi minuti, la vittima riceve una chiamata in apparenza proveniente dal “numero verde” in uso alla banca, nel corso della quale il falso operatore, prospettando presunte criticità tecniche o l’urgenza di bloccare movimenti sospetti in uscita a tutela del “cliente”, riesce a farsi consegnare le “chiavi” di accesso al conto o i cosiddetti codici OTP, dispositivi delle operazioni, utilizzandoli per scopi fraudolenti, quali bonifici e pagamenti.

Trading on-line

L’utente si imbatte in un post pubblicitario che illustra investimenti ad alto profitto, in genere sul social network Facebook o su altri social. A quel punto, attirato dalla prospettiva di un facile guadagno, l’utente chiede di essere successivamente contattato, compilando un “form” proposto dal link presente all’interno del post.

Talvolta, per rendere l’affare ancora più credibile, la promozione delle attività e/o dei prodotti di investimento è falsamente associata a personaggi pubblici o dello spettacolo.

Segue, quindi, un contatto, solitamente telefonico, con chiamata originata da utenze di tipo “VoIP” (Voice over Internet Protocol, che utilizzano la rete internet per effettuare chiamate vocali), da parte di un sedicente broker che promuove l’investimento, nonché le modalità di esecuzione, che prevedono in genere un’assistenza completa durante ciascuna fase dell’operazione, a partire dalla registrazione sulle relative piattaforme. In tal modo, ostentando professionalità e competenza, i truffatori inducono il “cliente” a fidarsi, facendo sì che aderisca alla proposta.

L’utente viene convinto ad effettuare un versamento iniziale di bassa entità, di norma di € 250,00, per partecipare e gli viene registrato un profilo su una piattaforma di trading online.

Dopo il primo investimento, gli viene assegnato un “broker”, che lo seguirà passo passo nelle attività, garantendogli anche assistenza informatica con il download di un programma di gestione da remoto del PC.

L’account dato in uso al cliente per seguire gli investimenti è, in realtà, relativo ad un profilo puramente dimostrativo della piattaforma, in cui verranno visualizzate informazioni FALSE, con particolare riferimento ai profitti in apparenza sempre più favorevoli, invogliando l’ignaro investitore ad aumentate i versamenti, effettuati medianti bonifici su conti esteri o su portafogli di cripto-moneta, gestiti direttamente dal falso “broker”.

Di solito, la truffa va avanti fino a quando il cliente, esaurita la propria disponibilità economica o ormai appagato dai rendimenti ottenuti, chiede di ritirare il capitale, senza, però, riuscirci. A quel punto, verranno, infatti, prospettate dai falsi “broker” difficoltà di carattere burocratico e richieste ingenti commissioni d’uscita o importi per ipotetiche tasse da pagare in altri Paesi.

I falsi “broker” sono molto abili nel riuscire a convincere telefonicamente la vittima a fidarsi e a versare somme ingenti, senza alcuna formalizzazione di tipo contrattuale o comunque giustificativa delle attività che sta compiendo.

In alcuni casi la vittima, a distanza di tempo, viene poi contattata anche da falsi avvocati o commercialisti che, prospettando la possibilità di recuperare le somme investite, la inducono ad effettuare ulteriori pagamenti, con aggravamento del già significativo danno economico.

Si tratta di un tipo di truffa che non lascia scampo, in quanto i pagamenti richiesti vengono effettuati sempre verso conti correnti esteri o verso wallet irrintracciabili.

Romance scam

Le cd. “truffe romantiche” vedono come principali vittime donne non più giovani, anche se risultano casi che hanno coinvolto sia ragazze sia uomini.

L’approccio con la vittima avviene di norma su piattaforme social (Facebook, Instagram, Twitter, etc.), per poi spostarsi su servizi di messaggeria istantanea WhatsApp, Telegram, etc).

I rei, fingendosi spesso appartenenti ad istituzioni estere (forze armate, uffici consolari, società note a livello mondiale) con qualifiche di alto profilo, avviano un dialogo destinato a durare a lungo.

L’interlocutore fa emergere la propria condizione di single o di vedovo, fingendosi privo di legami, in modo da attirare sempre più l’interesse e la compassione della vittima.

Dopo aver consolidato il legame di fiducia con quest’ultima, il reo chiede un aiuto di tipo economico, con scuse di vario genere (affrontare un viaggio umanitario, risolvere un problema sanitario etc.), solitamente con servizi di trasferimento immediato del denaro, quali MoneyGram o WesterUnion, in alcuni casi anche con bonifici.

L’attività truffaldina prosegue fino a quando la vittima non lamenta la mancanza di fondi o chiede prova dei fatti, con il risultato che l’interlocutore, a quel punto, sparisce improvvisamente, creando ansia e depressione.

La truffa del falso affitto

In estate o in prossimità delle festività, si moltiplicano i falsi annunci che propongono immobili in località turistiche o in città d’arte, sui canali social o sui siti di intermediazione immobiliare di più frequente utilizzo. Prezzi eccessivamente contenuti, assenza di documentazione contrattuale, pretesti di vario tipo per rinviare un incontro tra le parti, troppa insistenza per concludere subito il contratto, con la richiesta di anticipi e caparre, pur senza aver consentito di visitare l’immobile, sono spie di una probabile inattendibilità dell’annuncio.

E’ importante valutare bene tutti gli elementi a disposizione e non agire in preda alla fretta ed a1l’urgenza di concludere quello che solo in apparenza sembra un buon affare.

Consapevoli dei rischi che le transazioni online possono celare, è importante tenere presenti alcuni accorgimenti che possono aiutarci a non cadere in errore:

  1. dubitare dell’attendibilità di annunci che offrono immobili in affitto ad un prezzo troppo ridotto e quindi “fuori mercato”;
  2. evitare di versare anticipi o caparre, senza aver prima visto l’immobile;
  3. controllare con attenzione il testo degli annunci, con particolare riferimento al linguaggio utilizzato, ad eventuali errori di grammatica, di lingua, di sintassi, che potrebbero far pensare ad una fonte non genuina;
  4. anche le immagini pubblicate nell’annuncio possono essere significative: diffidare di quelle che appaiono troppo “perfette” per essere vere, frutto, ad esempio, di “copia/incolla” da altri siti (alberghi, negozi online di arredamento e simili);
  5. stare attenti alla mancanza di informazioni dettagliate sull’immobile, con poche foto allegate ed elementi così generici da non permettere nemmeno di capire se l’abitazione sia realmente nella città in cui crediamo si trovi;
  6. diffidare di sistemi di pagamento non tracciabili, utilizzando solo intermediari certificati, verificandone sulla rete le politiche di protezione acquisto e di rimborso del cliente;
  7. diffidare di IBAN esteri quando l’immobile che vogliamo affittare si trova sul territorio nazionale e riteniamo, sulla base degli elementi in nostro possesso, che il possibile contraente sia in Italia;
  8. non effettuare mai bonifici istantanei, posticipando, al contrario, la data di accredito della valuta, così da disporre di un intervallo temporale per eventuali verifiche o per la revoca del bonifico.

E’ bene fare ricerche incrociate su internet, in modo da vedere se l’immobile di interesse si trova anche in altri siti, ma con dati di contatto diversi, elemento che deve metterci in guardia.

Altra possibilità, documentandosi bene prima, è quella di chiedere alla controparte notizie sulle caratteristiche della zona, in modo da verificare se la conosce veramente o se si tratta solo di un bluff.

E’ bene anche cercare su Google o su altro motore di ricerca le utenze telefoniche e gli indirizzi email forniti dalla controparte o digitare nella barra di ricerca una parte del testo dell’annuncio, per vedere se ci siano segnalazioni di altri utenti che abbiano subito delle truffe.

In caso di pagamento da effettuare presso esercizi autorizzati, è possibile chiedere informazioni al personale addetto sulla revocabilità del versamento che si intende eseguire.

Infine, è bene controllare con attenzione anche le informazioni ed i riferimenti contenuti nel profilo social dell’utente che propone l’immobile in affitto, nonché le caratteristiche del profilo stesso, per cercare di acquisire ulteriori elementi utili a compiere una scelta consapevole.

La Polizia Postale consiglia:

  • le banche o le altre società che emettono carte di credito non chiedono mai l’invio o la conferma di dati personali tramite e-mail, SMS o telefonate. Bisogna sempre diffidare delle e-mail e degli SMS che, tramite link in essi contenuti, rimandano ad un sito web su cui viene chiesto di confermare i propri dati;
  • nel caso in cui si riceva un’e-mail, un SMS o una telefonata, che si pensa provengano dalla banca di cui si è clienti, con cui vengono richiesti dati personali riservati, occorrerà recarsi personalmente presso il proprio istituto di credito o comporre il numero ufficiale della propria banca, mai chiamare direttamente il numero indicato nella e-mail o nell’SMS;
  • diffidare di comunicazioni con cui viene richiesto di spostare con un bonifico il proprio denaro su un altro conto, per presunti problemi di sicurezza;
  • se l’e-mail o l’SMS sembrano autentici, è sempre bene diffidare del link con essi fornito e svolgere ulteriori verifiche, collegandosi al vero sito della banca, digitando direttamente l’indirizzo nel browser, senza mai utilizzare il predetto link (che rimanderebbe fatalmente alla pagina “clone”);
  • verificare sempre nei siti web in cui è richiesto  di immettere  dati  (account, password, numero di carta di credito, altri dati personali), nella barra in cui compare l’indirizzo, sia presente, prima dell’indirizzo, la sigla di sicurezza “https” o l’immagine del lucchetto chiuso;
  • modificare periodicamente l’accesso ai servizi on-line, evitando di usare la stessa password per più siti o per servizi diversi;
  • ricordarsi di aggiornare il sistema operativo quando richiesto;
  • installare sul proprio dispositivo un buon antivirus ed un filtro anti-spam
  • controllare le impostazioni di sicurezza dei propri account social, usando password complesse e sempre diverse per ciascun profilo, scegliendo la modalità “privata” e consentendo solo alla lista di “amici” della cui identità si è certi l’accesso ai contenuti pubblicati;
  • a tal proposito, non accettare mai richieste di “amicizia” da parte di sconosciuti ed evitare di condividere informazioni personali, che possono rivelare particolari sulle proprie abitudini e sulla propria vita, di cui i malviventi fanno uso a proprio vantaggio;
  • se si è vittima di un reato online, ricordarsi di preservare le possibili prove: non cancellare i messaggi, né i numeri di telefono o gli account di posta elettronica ed i profili social da cui si è stati contattati, prima di aver fornito queste informazioni alla polizia (fare gli screenshot delle conversazioni e della url identificativa del profilo social),
  • recuperare le somme è di norma difficile, dato che vengono in genere utilizzati sistemi di pagamento immediati (come bonifici istantanei o ricariche su carte di vario tipo), spesso, peraltro, su conti esteri. E’, quindi, importante essere tempestivi nel rivolgersi al proprio istituto bancario per verificare se sia possibile revocare l’operazione effettuata e sporgere denuncia prima possibile;
  • il portale “www.comissariatodips.it”, curato dalla Polizia Postale fornisce informazioni, consigli e aggiornamenti utili sui fenomeni più ricorrenti e su come proteggersi. Permette di inviare, anche in forma anonima, richieste di aiuto o di semplice supporto informativo.