Se un tempo c’era il fenomeno del phishing, ora siamo entrati nell’epoca dello spoofing.
Non preoccupatevi, vi spiegheremo tutto. Alla base c’è il tentativo truffaldino di impadronirsi dei dati degli utenti attraverso gli ormai classici sms truffa. Con la differenza che il gioco si è fatto più raffinato, da parte dei malintenzionati. E quindi è più difficile, specie per i più distratti o i meno avvezzi alla tecnologia, difendersi da questi attacchi criminali.
Vediamo cosa sta succedendo, partendo dalle definizioni dei due concetti citati all’inizio dell’articolo. Ricordiamo dunque cos’è il phishing, e scopriamo cos’è lo spoofing, un fenomeno sempre più diffuso.
Cos’è il phishing
Il phishing è un tipo di truffa effettuata in Rete, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali (dati finanziari o credenziali di accesso). E lo fa tramite mail o sms truffa, fingendosi affidabile.
Come vi abbiamo segnalato in un recente articolo, il costo medio che le aziende italiane devono sostenere ogni anno per far fronte al phishing è di circa 680mila euro.
Cos’è lo spoofing
Lo spoofing è un tipo di crimine che si concentra proprio sull’affidabilità del messaggio.
Il malintenzionato, in questo caso, invia comunicazione per mail o sms fingendosi un mittente attendibile. E quindi convincente, qualunque sarà la sua richiesta (quella di fornire i propri codici di accesso all’area riservata di una banca o le cifre della carta di credito, ad esempio).
Si parla di spoofing dell’indirizzo IP quando vengono inviati messaggi usando un indirizzo IP che fa sembrare il mittente attendibile. E si parla di spoofing di mail quando la modifica dell’intestazione di una mail nasconde il vero mittente.
Per quanto riguarda i messaggi, con lo spoofing vengono inviati sms massivi attraverso un alias identico al nome di, ad esempio, un istituto bancario. E così chi lo riceve, purtroppo, lo categorizza assieme a quelli ricevuti dalla vera banca.
Mail e sms truffa: cosa sta succedendo
Come dicevamo, se è facile ignorare mail e sms da mittenti sconosciuti (e magari, nel caso delle mail, con nomi utente e domini bizzarri), le cose si complicano di molto se il mittente è la nostra banca o Poste Italiane. Si tratta di istituti cui consegniamo il nostro denaro, quindi istintivamente riponiamo in loro una grande fiducia.
I criminali informatici lo sanno, e i loro tentativi di raggiro sono sempre meglio camuffati. Nei giorni scorsi a svariati clienti di Poste o di Intesa San Paolo sono arrivati messaggi da mittenti che in teoria corrispondevano proprio al nome dell’istituto. Istituto che magari giorni prima aveva chiesto l’autenticazione a due fattori, un elevato standard di sicurezza.
Tecnicamente, come abbiamo già visto, ciò è possibile utilizzando un alias che sostituisce il vero numero mittente. Difficile, dunque, diffidare di un messaggio che ha tutta l’aria di essere arrivato dalla mia banca.
Il problema è che nell’sms truffa contiene la richiesta di un’azione urgente, e l’invito a cliccare subito su un link. I motivi? Perché, ad esempio, “un dispositivo non riconosciuto risulta collegato al tuo conto online”. Oppure perché il cliente viene invitato “ad eseguire il nuovo aggiornamento. La mancata attivazione porterà alla sospensione”.
Se me lo dice la mia banca, come faccio a non fidarmi?
Peccato che il link conduca poi a un sito truffaldino, ma graficamente assai simile all’originale. In cui viene richiesto l’inserimento di password e coordinate bancarie, con conseguenze tutt’altro che liete per i malcapitati.
Un buco normativo
Questi sms truffa presentano un (non piccolo) problema in più. Ovvero un buco normativo, come ha spiegato ai colleghi del Corriere della Sera Fabio Ugoste, responsabile della cybersecurity di Intesa Sanpaolo.
Ugoste ha detto: “La mancanza di una normativa specifica in materia di telecomunicazioni e quindi di adeguati controlli sull’utilizzo di tali tecnologie consente ai truffatori di ingannare le vittime che vedono comparire sullo schermo dello smartphone il nome della propria banca o il numero di telefono del suo servizio clienti memorizzato in rubrica. Purtroppo, trattandosi di un fenomeno fuori dalla propria possibilità di controllo, le banche non possono intervenire direttamente e in maniera autonoma per contrastarlo.
Poste Italiane conferma che “attualmente non è possibile bloccare l’utilizzo di alias da parte di piattaforme di messaggistica”.
Come difendersi
Poste Italiane invita a “non aprire email o sms di questo tipo o scaricare gli allegati”. E a “non inserire UserId, password, informazioni personali e codici conto dispositivi su siti Internet raggiunti cliccando sul link presente in una email o in un sms”.
Inoltre “Poste Italiane non chiede mai di fornire direttamente dati personali di accesso al sito web nelle sue comunicazioni con la clientela”.
Prima regola, dunque, mai cliccare su link sospetti. Ma soprattutto, dopo l’eventuale clic, mai inserire propri codici o credenziali. La prova del nove sarà effettuabile leggendo l’URL del sito su cui siamo capitati. Che, per quanto la grafica mimi quella originale, sarà necessariamente diverso dall’indirizzo del sito autentico.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🚪 La pericolosa backdoor di Linux, disastro sventato da un solo ricercatore
🎶Streaming Farms: il lato oscuro della musica, tra ascolti falsi e stream pompati
✈️Abbiamo provato DJI Avata 2: sempre più divertente!
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
