Dettaglio della news

Truffe online e spedizioni: cosa sapere e come proteggersi

Data di inserimento: 14/10/2024

Al giorno d’oggi, la maggior parte e comunicazioni passa attraverso la casella di posta elettronica, spesso veicolando informazioni sensibili per individui, organizzazioni e comunità. Questo flusso continuo di dati rappresenta un’opportunità per criminali e truffatori, che sfruttano le e-mail per mettere in atto le loro azioni disoneste.

In particolare, uno degli stratagemmi più comuni e insidiosi è il phishing: in questo articolo vedremo cos’è, come riconoscerlo e come evitare di finire vittima d’attacco. Continua la lettura e scopri di più sul tema e su come tutelarti.

Phishing: cos’è

La più comune tecnica d’attacco utilizzata dai criminali è il phishing. Il termine è composto da due termini derivanti dall’inglese:

  • Phreaking”, il termine con cui sono state classificate le prime truffe tecnologiche
  • Fishing”, il verbo pescare/andare a pesca.

Come riconoscerlo

Alle vittime di phishing vengono inviate e-mail dal contenuto ingannevole ma credibile, che invitano il destinatario a compiere un’azione per ottenere un vantaggio o per evitare una situazione spiacevole.

Se il destinatario esegue l’azione richiesta, i truffatori provocano un danno. Per questo motivo, maggiore è la consapevolezza rispetto ad attacchi di questo tipo, minore è la probabilità del loro successo. Ecco, dunque, come riconoscere un tentativo di phishing:

  1. Senso di pressione e urgenza: l’obiettivo è quello di mettere sotto pressione e far agire d’impulso.
  2. Comunicazione inaspettata: la comunicazione contiene al suo interno una richiesta insolita e inaspettata, che cattura la tua attenzione.
  3. Errori ortografici: errori e/o testi incoerenti sono spesso messaggi massivi che vengono generati all’estero e tradotti in maniera automatica.
  4. Formule di apertura e firme: in alcuni casi mancano di formule di apertura oppure utilizzano forme di apertura generiche (proprio perché il messaggio è diretto a più utenti). Prestare sempre attenzione a formule di saluto, firme e loghi: i dettagli fanno la differenza.
  5. Mittente: controllare eventuali anomalie nell’indirizzo del mittente. La parte più importante è quella dopo la chiocciola: ad esempio @50percentosconto.com è sicuramente un indirizzo mail anomalo. Tuttavia, in caso di attacchi più sofisticati l’indirizzo potrebbe risultare affidabile: un possibile caso è quando l’identità del mittente è stata compromessa.
  6. Informazioni critiche o sensibili: password, PIN, numero di carte di credito… diffida dei messaggi che ti chiedano di fornire informazioni di questo tipo.

Tipologie di phishing

Esistono due tipologie principali di phishing:

  • spray phishing
  • spear phishing

Spray phishing

Lo spray phishing è un attacco di tipo massivo e poco sofisticato. Vengono infatti inviate tante mail dal contenuto uguale a tanti utenti, in modo tale che il contenuto della e-mail risulti attrattivo agli occhi di qualcuno.

In sintesi, viene sfruttato un approccio quantitativo, scommettendo sulla probabilità che alcuni destinatari abbiano in corso una spedizione e possano cadere in trappola. L’uso di un messaggio generico che crea una falsa urgenza è uno dei tratti distintivi di questa tecnica. A questo si aggiunge poi la presenza di link fasulli con lo scopo di rubare ai malcapitati i loro dati sensibili.

Un esempio nell’ambito logistico può essere un finto problema con la spedizione del tuo pacco. Nel testo del messaggio chiedono i dettagli della tua spedizione entro 24 ore (numero d’ordine, destinatario, indirizzo di spedizione). Inoltre, per confermare o modificare i dettagli, invitano a cliccare su un link fraudolento, dove vengono chieste informazioni personali o finanziarie con la minaccia di trattenere il tuo pacco all’interno dei magazzini e richiedendo costi aggiuntivi per il servizio.

Spear phishing

Una tipologia di attacco più efficace è invece lo spear phishing. Colpisce una persona in particolare o un gruppo di persone che hanno una caratteristica comune. I criminali che utilizzano tecniche di spear phishing spesso appartengono a organizzazioni specializzate nel collezionare informazioni sfruttando strumenti social. Infatti, questi attacchi sono spesso parte di una strategia più complessa, che include:

  • l’identificazione di un obiettivo
  • l’acquisizione di informazioni sull’obiettivo (social engineering)
  • la pianificazione di azioni combinate per aumentare la probabilità di buona riuscita dell’attacco.

Le mail ricevuto in questo caso non saranno più generiche, ma molto precise e puntuali e la probabilità di essere vittima di attacco è più alta.

Facciamo un esempio: ricevi una mail nella quale ti viene chiesto di fare un’azione per la spedizione del tuo pacco. Il messaggio arriva da un finto mittente che usa nome dell’azienda realmente esistente e un indirizzo che appare autentico, ma leggermente alterato. Il corpo del testo inizia con il tuo nome e cognome e si comunica di un problema di discrepanza nei dati di spedizione, completo di numero di ordine specifico e dettagli della spedizione curati in modo da sembrare veritieri. Ti viene chiesto di aggiornare le informazioni necessarie tramite link fittizio, con la promessa di evitare ritardi nella consegna.

Questo tipo di approccio, mirato e sofisticato, rende lo spear phishing un attacco particolarmente pericoloso e difficile da smascherare.

Gli obiettivi di un attacco phishing: cosa si rischia

Un attacco phishing comporta diversi rischi e ha sostanzialmente 3 obiettivi principali:

  • la sottrazione di informazioni critiche (talvolta seguite da ricatto per rientrarne in possesso)
  • il controllo, il danneggiamento e la compromissione dei dispositivi
  • la truffa con annessa sottrazione di denaro.

Spesso, oltre al furto di denaro, si va incontro anche al furto dell’identità, dove i truffatori raccolgono informazioni personali come nome, indirizzo, numero di telefono e dettagli bancari. Questi dati possono poi essere riutilizzati per creare conti falsi, chiedere prestiti o compiere azioni illecite a nome della vittima. Presta dunque attenzione a dove e a chi lasci i tuoi dati.

Come difendersi da un attacco phishing?

Affinché l’attacco phishing vada a buon fine, è necessario che l’utente compia un’azione                  come cliccare su un link o aprire un allegato. Per questo motivo occorre sempre mantenere un atteggiamento prudente e consapevole, soprattutto quando una mail richiede un’azione immediata.

Prestare la massima attenzione ai link è essenziale. Ecco un suggerimento su come verificare i link ricevuti da pc: porta il mouse sul link presente nel testo, senza cliccare, e ti apparirà il link reale. Se i due link non corrispondono, meglio non eseguire nessun tipo di azione. Poni anche attenzione all’indirizzo del sito, in particolare sulla radice sinistra che inizia con http:// o https://.

Per prevenire spiacevoli inconvenienti da mobile, consigliamo di:

  1. utilizzare solo app ufficiali scaricate da app store riconosciuti e affidabili
  2. usare solo browser sicuri con funzioni di sicurezza installate
  3. Installare software antivirus per smartphone
  4. Creare password molto sicure
  5. Aggiornare le app per difendersi da minacce di sicurezza informatica.

Pratici consigli

  1. Se hai un dubbio, non cliccare link e non aprire allegati
  2. Se conosci il mittente, fai una verifica diretta magari chiamando al telefono
  3. Usa i canali ufficiali dell’organizzazione mittente, i loro siti e app ufficiali, senza ricorrere ai link della mail ricevuta
  4. Non dare informazioni se non sei certo che la mail sia affidabile.
  5. Non inoltrare mail sospette: se hai subbi aggiungi un chiaro messaggio in cui esprimi le tue perplessità senza fornire autorevolezza al contenuto della mail.
  6. Dai valore alle informazioni che condividi: condividi il minimo indispensabile e solo su canali che si riesce a controllare.
  7. Tieni aggiornati i tuoi dispositivi e utilizza un buon antivirus.
  8. Usa password robuste e diverse per ogni account e servizio.
Immagine Truffe online e spedizioni: cosa sapere e come proteggersi