Le carte di credito sono nel mirino del phishing. Secondo l’Osservatorio cyber del CRIF, sono triplicati i dati critici nel Dark Web, come l’abbinamento di account compromessi, numeri di telefono e codici fiscali, oltre a CVV e date di scadenza delle stesse carte. Tutti dati con cui hacker possono provare a bypassare l’autenticazione a due fattori e rubare
“L’aumento della digitalizzazione e l’incremento dell’adozione delle carte di credito vanno di pari passo e, durante la pandemia”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security at P4I – Partners4Innovation, “l’uso dei pagamenti digitali e dell’eCommerce hanno registrato un rapido incremento, anche da parte di persone anziane che non erano preparate. In generale c’è stata un’esposizione maggiore”.
Ecco come correre ai ripari, mitigando il rischio del phishing a caccia dei dati sensibili delle carte di credito.
Indice degli argomenti
Carte di credito: il phishing è sempre in agguato
“Il fenomeno”, della digitalizzazione e dell’adozione dei pagamenti digitali, e dunque della maggiore esposizione, “vale non solo a livello consumer, ma anche a livello aziendale”, conferma Claudio Telmon.
L’Italia infatti si posiziona in quattordicesima posizione tra i Paesi più esposti al furto delle credenziali delle carte di credito. Nella Top 20 dei Paesi con il numero più elevato di vittime del cyber crime. Il 21,1% delle vittime risiede nel Lazio, segue la Lombardia con il 14% di persone che hanno ricevono notifiche per attacco hacking.
Gli avvertimenti, relativi ai dati apparsi online, superano la soglia di 1,6 milioni. La maggior parte è presente sul dark web (1,5 milioni di alert pari all’83,7%). Invece quelli sull’open web o web publico si fermano a quota 106 mila alert (16,3%).
I dati nel dark web sono infatti “triplicati rispetto all’anno precedente”, spiega Beatrice Rubini, Executive Director di CRIF.
Rispetto all’anno precedente, aumenta a doppia cifra (+10,5%) anche l’abbinamento del numero di carta di credito al cvv e alla data di scadenza.
“La presenza dei CVV fra i dati emersi nel dark web”, avverte Telmon, “ci dice che le vittime sono cadute in qualche meccanismo di phishing online. L’avanzamento molto veloce della digitalizzazione, non accompagnato dalle competenze e dalla consapevolezza, ha finito per spingere l’esposizione dei dati degli italiani“.
La maggior parte degli account che hanno subito violazioni riguarda l’intrattenimento con giochi online e dating (37,2%), mentre crescono le violazioni di account social (+125,8%). L’abbinamento di account compromessi, numeri di telefono e codici fiscali, oltre a permettere l’accesso a molte piattaforme ed app, consente anche di accedere illegalmente a profili privati, sfruttando perfino l’autenticazione a 2 fattori nei protocolli di sicurezza.
“Le tecniche di phishing stanno diventando sempre più sofisticate”, sottolinea Claudio Telmon, “e il rischio è che cyber criminali possano aggirare l’autenticazione multifattore”.
Rispetto all’anno precedente, aumenta a doppia cifra (+10,5%) anche l’abbinamento del numero di carta di credito al cvv e alla data di scadenza.
Come proteggersi
Lo schema delle campagne phishing consiste nell’inviare email o Sms o anche telefonate (vishing) che sembrano provenire dalla propria banca e simulano attacchi ai conti corrente e chiedono di cliccare in fretta su link fasulli per immettere dati sensibili per bloccare le carte: indirizzi, carte di credito, codici fiscali, CVV e data di scadenza eccetera.
Bisogna evitare sempre di dare corso a comunicazioni inattese o allarmanti o troppo attraenti che mettono pressione psicologica sulle vittime o propongono vantaggi per il lettore. La consapevolezza dei rischi è sempre la migliore difesa.
“Ma c’è anche un altro fattore: molte truffe avvengono sul cellulare“, avverte Claudio Telmon, “in mobilità tutto è molto più confuso: le verifiche dei link sono più difficili su Mobile, le interfacce sono più semplificate ma rendono i controlli e la consapevolezza molto più complesse”.
“Tra l’altro, quando lavoro su PC, l’autenticazione multifattore è separata e richiede il telefonino, invece su cellulare è più confusa e può mettere in difficoltà persone anche competenti. Ci sono difficoltà oggettive a controllare se una finestra è vera o se è fasulla. Se invece lavoro da PC, uso strumenti separati che rendono più difficile cadere vittima del phishing”.
Su Pc possiamo controllare se si scaricanoo allegati provenienti da email non precedentemente verificate o note, è possibile anche analizzare il mittente effettivo (magari contattando via whatsapp se ci ha spedito allegati) e il contenuto dei link o il dominio (URL). L’attenzione su PC è più alta e comunque abbiamo più capacità di verificare se è una truffa.
“Se uno ha un PC, deve usarlo in maniera attenta e responsabile”, evidenzia Telmon. “Se uno riceve comunicazioni, deve verificare con calma e ha a disposizione gli strumenti per non correre rischi”.
“Inoltre”, continua Telmon, “bisogna essere sempre pronti: come mi contatterebbe la banca? Non bisogna farsi mettere sotto pressione, ma dobbiamo avere sempre con noi il numero vero della banca da chiamare al volo per effettuare verifiche”.
“Se la banca temesse anomalie, ci chiamerebbe per domandarci se stiamo usando noi la carta. Ma non ci chiederebbe mai numeri segreti, PIN o CVV o date di scadenza”. Per queste verifiche c’è l’app scaricata dal marketplace ufficiale.
“Quindi, se si temono violazioni, occorre chiamare i numeri ufficiali per bloccare la carta di credito. Purtroppo i cyber criminali ci provano sempre”, conclude Telmon.