Cybersecurity. Come difendersi dalle truffe on line

di redazione 29/11/2022 SCIENZA E TECNOLOGIA
img

Una pagina hackerata, una consegna non effettuata, un’allettante abboccamento per eventuali proposte di lavoro: sono tre distinte situazioni in cui chi legge potrebbe essersi imbattuto in passato. Magari, per aver ricevuto - sul proprio cellulare o via posta elettronica - una comunicazione che ai più “navigati” frequentatori del web sarà risultata quantomeno “sospetta”. Ma che, a quanti masticano poco di e-mail, spam e altre comunicazioni virtuali (in realtà, ormai pochi), poteva risultare perfettamente normale come le altre (tante) a cui si risponde ogni giorno.

Si tratta di tre casi differenti di tentate truffe che l’Agenzia per la Cybersecurity nazionale ha affidato al proprio CSIRT (Computer Security Incident Response Team), una squadra composta da informatici i quali – come si può leggere nelle comunicazioni ufficiali dell’ANC – ha il compito di monitorare gli incidenti informatici a livello nazionale; emettere preallarmi, allerte, annunci e divulgare informazioni alle parti interessate in merito a rischi e incidenti. Il CSIRT ha infine il compito di intervenire in caso di incidente avvenuto e analizzare i rischi, oltre a sensibilizzare i portatori di interesse.

Grazie alle abilità e alle competenze degli esperti del CSIRT, l’Agenzia per la Cybersecurity nazionale è quindi intervenuta per studiare, analizzare e mettere a punto i rischi delle tre diverse situazioni descritte sopra, soprattutto per fornire agli utenti una “via d’uscita” da un danno materiale e tangibile, come (tanto per citare il caso più comune) furti alla propria carta di credito.

 

Estorsione via mail

Quando, ad esempio, si è ricevuta una comunicazione del tipo “Il tuo sito è stato hackerato” – sia esso un blog, un profilo social o un’altra pagina personale, a cui si accede con dati riservati e personali (un nickname e una password) –, bisogna sapere anzitutto che lo scopo principale dell’autore di questi alert è ottenere un pagamento in Bitcoin, la più famosa tra le cosiddette criptovalute, dietro la minaccia di pubblicare dati aziendali sensibili, dei quali il malintenzionato sarebbe in possesso. Niente di più falso, è una semplice truffa.

Cosa fare in questi casi, quindi? “Poiché a volte – spiega l’Agenzia per la Cybersecurity – è stato rilevato l’utilizzo di dati aziendali precedentemente sottratti e resi pubblici per conferire legittimità alla comunicazione, il Computer Security Incident Response Team suggerisce agli utenti e alle organizzazioni eventualmente prese di mira da questa tipologia di attacchi di verificare scrupolosamente le e-mail ricevute. Inoltre, consiglia di attivare misure aggiuntive come il controllo dei dati di traffico, l’analisi delle infrastrutture e di implementare sistemi di protezione aggiuntivi”.

 

Senza citare brand mondiali specializzati in consegne a domicilio, in epoca di e-commerce è ormai abbastanza ordinario e diffuso acquistare prodotti online e vederseli recapitare a casa (il Black Friday è appena passato). Ebbene, a quanti sarà già capitato di ricevere “strane” mail in cui viene comunicato che al proprio indirizzo è stato effettuato un tentativo di consegna non andato a buon fine? “Siamo qui per informarti che abbiamo bisogno di una conferma: clicca qui” ci viene detto con premura. Ma niente di più falso, anche stavolta: si tratta di un altro tentativo di truffa. Cliccando e cliccando ancora su false conferme si apre una pagina che chiede il riepilogo dei propri dati per effettuare un pagamento su un “sito sicuro”, con tanto di loghi della propria banca ben evidenziati, per rendere più credibile il tutto.

Ma il CSIRT avverte: “Bisogna evitare di inserire i propri estremi bancari su portali di cui non si conosce l’affidabilità; verificare scrupolosamente i mittenti delle e-mail ricevute e la relativa attendibilità; nel caso in cui si fossero inseriti gli estremi della propria carta di credito, contattare quanto prima il proprio istituto bancario al fine di richiedere il blocco della carta”.

 

“Siamo interessati al tuo profilo professionale. Se cerchi lavoro, contattaci”. Un annuncio come tanti, interessante e allettante, comparso su noti social network specializzati nella profilazione professionale, che sembra provenire da un cosiddetto “recruiter” legittimo. È il terzo caso di truffa: una volta agganciata la vittima, viene proposto di fare un colloquio di lavoro informale via Skype e di visualizzare un documento Pdf per valutare le condizioni offerte. Ma quella pagina rappresenta un documento infetto, che inocula un malware sul computer ospite.

Che fare in questi casi? Il Computer Security Incident Response Team suggerisce le seguenti mosse: “Assicurarsi sempre dell’attendibilità del soggetto con cui si comunica chiedendo, ad esempio, un’e-mail aziendale o un contatto telefonico dell’azienda; bloccare l’esecuzione di software non attendibile e non firmato; mantenere aggiornati i software antivirus, anti-malware, sistemi endpoint, ecc.; non avviare file eseguibili se non si è certi della provenienza o della legittimità del contenuto”.

 
La nuova frontiera delle truffe online: il social-engineering

Il Social-engineering e la tutela di fronte alle truffe

Le tre azioni appena descritte individuate dal CSIRT dell’Agenzia per la Cybersecurity nazionale si basano tutte sull’ingegneria sociale e sfruttano la buona fede delle persone che, colte in un momento di stanchezza o distrazione, avendo davanti a sé scadenze e urgenze, si fidano delle finte comunicazioni di cui i ladri digitali sono ormai esperti.

Il Social-engineering (l’ingegneria sociale) è una tecnica di manipolazione psicologica, molto diffusa tra i criminali, alla base di numerose tipologie di cyber-attacchi. Si qualifica come una strategia volta a indurre e sfruttare l’errore umano per accedere in modo illegittimo a informazioni riservate (come username e password, PIN del cellulare, numero di conto corrente, codici bancomat e carte di credito) e poi compiere operazioni fraudolente.

Il Computer Security Incident Response Team ribadisce a tutti, come principale misura precauzionale, di diffidare da e-mail e richieste, anche via telefono ed SMS, e da comunicazioni inattese o che ci chiedono di compiere subito un’azione che potrebbe andare a nostro discapito.



Ti potrebbero interessare

Speciali