LA GUIDA PRATICA

Truffe online: le più diffuse, come riconoscerle e i consigli per difendersi

Negli ultimi mesi, complice anche la pandemia, stiamo assistendo a un consistente aumento delle truffe online che, per cercare di sorprenderci, hanno aggiornato il loro modus operandi all’attualità. Ecco come riconoscerle e i consigli per tenersi alla larga dalle principali attività fraudolenti

26 Apr 2022
R
Andrea Rossi

Dirigente superiore della Polizia di Stato i.q.

Il 2020, insieme alla pandemia da Covid-19, ha portato un considerevole aumento della criminalità informatica: se il fenomeno più grave in relazione alle vittime è sicuramente la pedopornografia, non c’è dubbio che il numero più consistente di violazioni riguardi le truffe online, che, come di consueto, hanno aggiornato il modus operandi prendendo spunto dall’attualità.

Le frodi negli acquisti si sono avvalse, per esempio, di falsi annunci concernenti medicine e vaccini, prodotti per l’igiene, kit per effettuare test del virus oppure email apparentemente inviate da un ministero che annunciavano contributi a fondo perduto da riscuotere, bonus o sospensione di imposte che rimandavano all’indirizzo internet di un sito clone.

Naturalmente non sono mancate in rete le beneficenze truffa a tema coronavirus.

Notevole impulso hanno avuto tutte le attività che legano il trattamento illecito dei dati personali alla truffa, come phishing, smishing o gli attacchi alle reti e ai sistemi con violazione di dati.

Truffe online: i numeri del fenomeno criminale

Come si può evincere dalla Strategia dell’UE in materia di cibersicurezza per il decennio digitale della Commissione europea, circa i due quinti degli utenti UE avrebbero sperimentato problemi riguardanti la sicurezza, mentre negli ultimi tre anni un terzo degli utenti avrebbe ricevuto e-mail o telefonate fraudolente in cui si richiedevano dati personali.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

In Italia, l’analisi del Servizio Analisi Criminale della Direzione Centrale della Polizia Criminale sull’andamento della delittuosità nel periodo della pandemia ha confermato in maniera ancor più evidente l’impatto delle misure dirette a limitare gli spostamenti delle persone: se, da un lato, l’indice di delittuosità in rapporto a 100mila residenti è in diminuzione nel 2020 con 3.038 reati, rispetto ai 3.826 del 2019 ed i reati commessi nel 2020 risultano inferiori a quelli del 2019 del 20%, le truffe informatiche nel 2020 risultano invece superiori a quelle del 2019 del 17,8%, in controtendenza rispetto alla maggior parte dei reati commessi nel 2020.

Il mese di maggio 2020, in particolare, parallelamente al consolidarsi dell’e-commerce e al prolungarsi del confinamento, ha fatto registrare sul nostro territorio il numero massimo di frodi informatiche: 9.427.

Le più diffuse truffe online

Come siamo arrivati a questa situazione e quali sono le tendenze di un fenomeno criminale che così spesso ci prende di mira?

Possiamo distinguere le frodi on-line in tre tipologie che vedono un crescente peso, rispetto ad altri fattori, dell’identità assunta dal truffatore:

  1. nella prima ha un’importanza ridotta ai fini dell’illecito, tanto che può coincidere con quella reale;
  2. nella seconda la vittima conosce per fama la persona o l’organizzazione di cui il truffatore carpisce l’identità, non vi sono rapporti diretti tra i due soggetti, oppure sono occasionali o saltuari. In questo caso, il raggiro mira a coinvolgere senza ricorrere a particolari procedure di autenticazione reciproca;
  3. nella terza, invece, l’identità fittizia dichiarata (ad esempio, perché sembra riferirsi alla propria banca o carta di credito) è determinante per la truffa perché diretta ad una vittima in particolare, che la riferisce ad un contesto in cui vi sono rapporti attuali e diretti di fiducia e, oltre all’identità dichiarata, devono essere reperite ulteriori informazioni per la riuscita dell’inganno. In questo ultimo caso, il raggiro è più complesso da organizzare (sono necessarie attività preliminari) e quasi sempre ricorre l’ipotesi della frode informatica (640 ter c.p.); nonostante ciò, si sta diffondendo perché è più redditizia e di rapida realizzazione, nonostante le periodiche contromisure messe in atto dalle banche e dalle altre società creditizie interessate.

Frodi negli acquisti, truffe romantiche e finte lotterie

Esempi del primo tipo sono le frodi negli acquisti (lo straniero che mette vendita a prezzi notevolmente vantaggiosi oggetti che puntualmente non arriveranno a domicilio o si riveleranno, nella migliore delle ipotesi, di pessima qualità), o ancora, le truffe “romantiche”, anche esse in aumento nel corso del 2020: qui si sfrutta il fisiologico bisogno di relazionarsi, espresso più o meno consapevolmente dalla vittima, che viene spinta, attraverso una narrazione convincente, a prestare aiuto (quasi sempre economico) per asserite difficoltà personali – ad esempio per un parente malato – facendo leva sul rapporto di fiducia precedentemente stabilito.

Meno frequenti, invece, le email che annuncia la vincita di una somma ingente ad una lotteria poco conosciuta, di solito in un paese straniero; naturalmente dopo il primo contatto viene chiesto di pagare una piccola somma per “rilasciare” le vincite, da versare su un conto personale estero.

Donazioni fraudolente e truffa nigeriana

Nel secondo gruppo rientrano le truffe fatte da coloro che fingono di appartenere a un’organizzazione benefica, sollecitando donazioni fraudolente; potremmo far rientrare in questa tipologia – per l’uso di intestazione diplomatica o ministeriale – anche un vero e proprio cult della truffa, quello del principe nigeriano o truffa nigeriana.

Mi permetto una digressione storica, avendoci lavorato in più occasioni: è nata quasi 30 anni fa, erano utilizzate normali lettere provenienti apparentemente dal territorio africano (francobollo rigorosamente contraffatto, solo in seguito sono state utilizzate email) a semplici cittadini, personaggi di rango o autorità pubbliche, inclusi uffici di Polizia.

I racconti in italiano sgrammaticato erano talvolta molto articolati, con accenni a persecuzioni politiche o necessità di mettere in salvo un’eredità contesa. In sostanza, una persona molto ricca chiedeva di utilizzare il conto del destinatario per spostare all’estero milioni di dollari, con la massima discrezione, con la promessa di una forte percentuale, spesso del 40%.

L’accordo proposto è spesso presentato come un crimine innocuo, o come un modo per sottrarsi ad indebite sottrazioni dei persecutori; puntualmente si chiedeva di anticipare somme per evitare ostacoli burocrati prospettati ad arte.

Phishing, vishing, smishing e accessi abusivi a banche dati

Le frodi del terzo tipo sono le più sofisticate, richiedono acquisizione di informazioni attraverso accessi abusivi a banche dati, tecniche di phishing (utilizzano un messaggio che, riferendo problemi di registrazione o sicurezza, invita a fornire i propri dati di accesso al servizio riservati, di solito rimandando, con un link, ad un sito web solo apparentemente dell’istituto bancario), vishing (attraverso il telefono: voice phishing) o smishing (in questo caso sono utilizzati SMS).

Le tecniche talvolta si sommano tra di loro e il recente ripetersi di operazioni di Polizia in questo settore fa comprendere che l’avvicinarsi del post pandemia potrebbe consolidare l’aumento di queste violazioni: solo pochi giorni fa, sette persone sono state arrestate in provincia di Napoli con un sequestro preventivo di 94.700 euro per una frode informatica. I truffatori, in questo caso, sono riusciti a procurarsi numeri telefonici a cui inviare degli SMS (smishing) ai quali poi faceva seguito una telefonata (vishing) effettuata da presunti operatori bancari.

Le chiamate sembravano provenire dal servizio clienti della banca e le vittime, informate di un possibile tentativo di prelievo di denaro dalle loro carte di credito, consegnavano nelle mani dei truffatori i pin d’accesso nella convinzione che fossero utilizzati per bloccarle temporaneamente, affinché questo non avvenisse; naturalmente il pin era poi utilizzato per prelevare da casse ATM.

Lo spoofing

Lo spoofing è un attacco informatico basato sulla falsificazione dell’identità. Un hacker si impadronisce di una serie di dati col fine di impersonare qualcuno di attendibile e conosciuto dalla vittima. Un caso abbastanza comune avviene tramite l’invio di mail che sembrano provenire da qualcuno di fidato, oppure utilizzare l’IP o il DNS per far si che la propria rete venga dirottata verso siti fraudolenti.

Truffe online e frodi bancarie: il racconto di un caso reale

La vittima di una variante di queste truffe mi ha coinvolto per porvi rimedio e solo la tempestività della reazione ha evitato che andasse a buon fine, credo pertanto sia utile illustrarla in dettaglio.

Nel caso in questione, sul cellulare è arrivato un SMS, apparentemente proveniente dalla banca della vittima, che segnalava un accesso anomalo al mobile banking, invitando a seguire la procedura indicata nel link allegato.

Il link ha aperto un sito clone dell’istituto finanziario in cui era presente l’area per digitare il PIN e accedere; una volta inserito, appariva la scritta “La procedura è andata a buon fine”.

Poco dopo, la vittima ha ricevuto una telefonata (inizialmente da un numero privato) dal truffatore che, spacciatosi per un impiegato dell’istituto di credito, comunicava, in un perfetto italiano senza inflessioni dialettali, che era stato fatto un bonifico di 7.000 euro dal conto corrente, chiedendo se era stato regolarmente autorizzato.

Ovviamente ha ricevuto una smentita, ma anche la richiesta di sgombrare i dubbi sulla sua identità di operatore della banca; a questo punto, il malvivente ha invitato a chiudere la conversazione, in modo da utilizzare un numero visibile. Nessuna difficoltà al riguardo: sul web esistono servizi e app facili da usare che permettono di fare una chiamata esponendo un numero telefonico che non è il proprio.

Dopo pochi minuti, è arrivata la nuova telefonata, la voce dell’interlocutore è la stessa, ma questa volta sullo schermo appare il numero del servizio clienti della banca: conquistata la fiducia della vittima, è ora agevole ottenere le credenziali e accedere al conto, non per bloccare il bonifico di 7.000 euro, come dichiarato al correntista, ma per attuarlo a favore di una carta di credito ricaricabile.

La conversazione è terminata con una rassicurazione: l’operazione non autorizzata era stata annullata, anche se sarebbe stata visibile ancora per alcune ore. Ad ogni modo, si invitava a cestinare l’app della banca e fare un’accurata scansione con un antivirus diverso da quello installato, tutte operazioni mirate a rendere complesso il blocco del bonifico e comunque a dilazionarlo il più possibile, in modo che, da “inserito”, il bonifico si trasformasse in un irreversibile “eseguito”.

Come porre rimedio alle truffe online

Per rimediare a questi raggiri e in generale alle truffe online, la tempestività, oltre alla diversa funzionalità stabilita dal proprio istituto per i bonifici, è essenziale: nel caso in esame il trascorrere di altri ventidue minuti sarebbe stato fatale.

Perché tutte le storie abbiano un lieto fine, è comunque necessario essere consapevoli che nell’era digitale acquisire informazioni dettagliate sulle vittime e clonare una pagina web o un profilo è facilissimo e qualsiasi mittente può mostrare un identificativo diverso: vale per email, SMS, telefonate e, ovviamente, indirizzo IP.

La sorpresa è sempre dietro l’angolo e qualsiasi procedura anomala, soprattutto se appare vantaggiosa e ci spinge ad agire in tempi ristretti, deve metterci in guardia e indurci ad adottare semplici, ma fondamentali comportamenti attivi di verifica.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5