Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

phishing

Rischi del phishing e truffe online: cosa si rischia se ci rubano l’identità

Il furto di denaro sulla carta di credito è il danno minore. Peggiori i danni alla reputazione e per utilizzo fraudolento del mio conto corrente, magari per fare reati. Ecco i rischi sottovalutati

14 Mag 2018
Alessio Pennasilico

Information & Cyber Security Advisor presso P4I - Partners4Innovation


Parlando di frodi informatiche perpetrate dai cyber criminali si pensa sempre e solo alla sottrazione di denaro, che avvenga essa tramite accesso al conto corrente, le cui credenziali possono essere state rubate tramite phishing, tramite utilizzi fraudolenti di carte di credito rubate da qualche sito, tramite ricatti come il ransomware o tramite truffe più mirate come quella man in the middle. Ma il denaro non è il bene più prezioso che rischiamo di perdere online.

Rischi del phishing e danni alla carta di credito

Se qualcuno riuscisse ad ottenere ed utilizzare i dati della mia carta di credito, online o offline, so per certo quantificare il danno massimo a cui sono esposto: il plafond della mia carta di credito, qualche migliaio di euro.

Di certo nessuno sarebbe felice di farsi rubare del denaro, tuttavia, potendo scegliere di quale incidente essere vittima, di certo preferirei questo problema ad altri ben più gravi.

Non mi preoccupa così tanto, infatti, che qualcuno possa acquistare qualcosa pagando a nome mio. Nell’ipotesi peggiore perderò del denaro, in una quantità che probabilmente sarò in grado di gestire, sapendo cosa e come fare, avendo pieno controllo del problema.

Rischi del phishing e danni alla reputazione

Sono, invece, molto più preoccupato che, ad esempio, qualcuno possa comprare qualcosa a mio nome e non pagarla. Anziché perdere del denaro, in questo caso, mi troverei costretto ad affrontare una accusa di furto o frode. Anche ipotizzando che io riesca a dimostrare la mia estraneità ai fatti alle forze dell’ordine, potrei finire a causa di questo incidente in un elenco di protestati o pagatori non affidabili, vedendomi rifiutare, anche a distanza di anni, finanziamenti o mutui, per l’auto, la casa o l’azienda.

La reputazione, sia essa sociale, di fronte alla legge, creditizia o in altre forme, oggi rischia di essere spesso molto più preziosa di qualche migliaio di euro sottratti dai propri averi.

Quando poi le truffe diventano seriali, il rischio è che il moltiplicatore possa essere importante e che di conseguenza il danno cresca esponenzialmente.

Famosa divenne, qualche anno fa, la storia di una signora che comprò un telefono cellulare su Internet e, senza pensarci, onorò una richiesta, normalmente infondata, di fornire alcuni documenti di identità al venditore per completare l’acquisto. Non solo non ricevette mai il telefono, ma i criminali attivarono un nuovo profilo a suo nome ed iniziarono a compiere la stessa operazione a danni di terzi. In capo a pochi mesi la signora si ritrovò non solo senza il cellulare acquistato e pagato, ma con decine di denunce per truffa, depositate presso diverse procure, da persone frodate con la stessa tecnica utilizzata per frodare lei. Il danno quindi non si limitò all’aver perso il denaro pagato. Non si limitò neppure a quanto pagato all’avvocato per potersi difendere da tutte le accuse, una cifra di ordini di grandezza superiore al costo del cellulare pagato. I truffati, infatti, trovarono il suo profilo sui social network e cominciarono ad insultarla pubblicamente per aver loro rubato dei soldi. La sua cerchia sociale arrivò a condannarla, con conoscenti che incontrandola dichiaravano il proprio disprezzo nei suoi confronti, con affermazioni assimilabili a “mai mi sarei aspettata da te un simile comportamento, illegale e truffaldino”.

Anche la reputazione e la serenità della signora oggetto della truffa probabilmente valevano più del costo del cellulare, forse anche più del costo della parcella dell’avvocato.

Quel che accade su Internet ha conseguenze nella nostra vita di tutti i giorni. Per questa ragione diventa indispensabile proteggere al meglio tutte le informazioni che ci riguardano, applicando concetti apparentemente datati e scontati, ma semplici, quale il fornire a terzi il set minimo di informazioni necessarie a svolgere l’operazione voluta.

Come difendersi dal phishing: Condividere con cura i propri dati

Non è, infatti, necessario solo proteggere le copie digitali dei documenti che tutti conserviamo sui nostri PC, scegliere con cura e proteggere dall’accesso indesiderato di terzi, desiderato o fraudolento che sia, tutte le piattaforme che utilizziamo per elaborare informazioni che ci riguardano, ma anche scegliere con cura quali dati condividiamo con chi.

Non va presa in considerazione come minaccia solo il criminale che froda me o la mia azienda, ma l’intero ecosistema in cui le mie informazioni vengono immesse. Magari non ho mai dato la mia carta di credito o la mia carta di identità ad un criminale, ma li ho utilizzati, magari senza motivo o senza preoccuparmene, per iscrivermi a qualche servizio. Poi i sistemi di quell’azienda vengono violati ed i miei dati sottratti a loro, loro malgrado.

Se non avessi utilizzato quelle informazioni su quella piattaforma, può essere, non sarei tra le vittime di furto di identità a seguito di quel data breach.

Illuminante in proposito, soprattutto per l’ottima gestione, l’incidente che subì Unicredit nel 2017. Il loro comunicato stampa forniva esattamente le informazioni che permettevano ai loro utenti di proteggersi. Semplificando: “ci hanno rubato delle informazioni che vi riguardano. Nessuna di queste informazioni permetterà di accedere o manipolare i vostri conti correnti. Quelle informazioni, però, possono essere utilizzate da un criminale per contattarvi e farvi credere di essere la nostra Banca. State attenti. L’unico modo di conversare con noi è tramite le nostre filiali. Non credete a mail o telefonate”. Preciso, chiaro e perfetto. Con indicazioni operative che ci permettono di capire come possono operare i criminali, come vanno contrastati. Permette di capire, una volta di più, quanto non sia sempre e solo il denaro “in vista” il target dei criminali, ma come le informazioni che ci riguardano possano essere utilizzate per monetizzare la truffa con schemi non di immediata comprensione per chi non si occupa professionalmente di questi temi.

Anche asset apparentemente non pregiati possono creare problemi tutt’altro che irrilevanti. Se un criminale riuscisse ad ottenere accesso ad un conto corrente di una vittima “non abbiente”, vale a dire con il conto corrente “in rosso”, non potrebbe rubare del denaro, ma potrebbe utilizzare quel conto corrente in uno schema di riciclo del “denaro sporco”, causando problemi ancor più gravi al suo titolare.

Noi dobbiamo attuare tutte le misure preventive per impedire che anche incidenti che possano accadere ad altri ci danneggino.

Si pensi ad esempio, ai grandi portali che scoprono falle o subiscono attacchi che portano a compromettere le password di tutti o gran parte dei loro utenti. Chi avesse abilitato, ove possibile, l’autenticazione a due fattori, non sarebbe spesso riguardato dal problema. E non vedrebbe i propri dati sottratti e riutilizzati.

Per concludere, nessuno può tutelare le nostre informazioni meglio di noi stessi. Dobbiamo crearne con cura, gestirle con cura e diffonderle, il meno possibile, con cura. Ed essere pronti a gestire eventuali emergenze.