Come sopravvivere alle frodi. Un vademecum

La frode è un qualsiasi tipo di falsa dichiarazione o attestazione di cui qualcun altro possa beneficiare. Spesso, è associata a questioni finanziarie, ma una frode può essere perpetrata per motivi diversi da quelli economici intaccando ambiti personali con motivazioni di vendetta, molestia, scherno, ridicolizzazione. Naturalmente i criminali informatici possono trarre guadagno anche da frodi sulla sfera personale, ma questa tipologia riguarda principalmente VIP e personaggi di pubblico interesse, che comunque rappresentano un sottoinsieme ristretto.

Dal punto di vista dei guadagni ingenti quindi, per gli attaccanti è preferibile effettuare attacchi generalizzati verso la maggioranza delle persone in modo che il ROI (Return Of Investment) sia massimizzato rispetto alle vittime potenziali ed effettive. infatti, il bilancio dei report 2019 sulle frodi rileva dati critici sulla frequenza e gravità degli attacchi a fini fraudolenti perpetrati verso aziende e consumatori.

Le trappole da riconoscere

Imparare a maturare un ragionevole dubbio rispetto ai rischi è possibile a patto di essere consapevoli delle condizioni favorevoli per gli attaccanti e delle tecniche in uso per compiere frodi in ambito digitale, con effetti sulle finanze del mondo reale. Tutti i periodi di shopping on line da novembre a Natale passando per il Thanksgiving, il Black Friday e il Cyber Monday, senza dimenticare i periodi dei saldi invernali ed estivi, oppure le condizioni eccezionali imposte dal lockdown per COVID19, costituiscono momenti preferiti per le frodi verso singoli consumatori, perché gli attaccanti approfittano dei grandi flussi di traffico verso i siti on line, si approfittano di acquirenti frettolosi e poco accorti, alla ricerca frenetica di buoni affari o di situazioni di bisogno. Prioritariamente tentano il furto di informazioni finanziarie mediante la tecnica del ‘phishing’ ma anche il furto di dati personali per rivenderli è redditizio. Sono 5 gli indizi suggeriti dai ricercatori di Check Point Software Technologies per capire la potenziale frode nell’ambito degli acquisti:

1. Sconti troppo belli per essere veri nei coupon e prezzi irresistibili pubblicato sui social media, che chiedono di compilare i propri dati personali, come nome e indirizzo, oltre ai dati bancari. Invece le informazioni arrivano direttamente al truffatore. In alternativa, per le stesse finalità è possibile creare un sito falso (vedi punto successivo)
2. Siti falsi: l’imitazione di siti di shopping popolari come Alibaba e Amazon, sono preparati con largo anticipo per il grande giorno delle vendite promozionali o in occasione di lanci di qualche brand famoso (tecnica del pharming n.d.r.) .
3. Strane forme di pagamento: se il metodo di pagamento sembra bizzarro (vaglia, bonifici bancari o carte e buoni prepagati) è perché questi metodi rendono più difficile individuare il destinatario e quasi impossibile il recupero dei soldi.
4. False Restituzioni: falsificare il servizio di reso di un sito è una tecnica in crescita in ambito e-commerce. Il tutto è finalizzato a far inserire alla vittima informazioni sempre più specifiche che possano essere usate per frodi finanziarie e furto di identità.
5. Informazioni non presenti: Se non sono presenti una policy di restituzione o le modalità di gestione della privacy o le Informazioni sul venditore, come anche i dettagli per la risoluzione delle controversie, dovrebbe scattare un ragionevole dubbio sulla bontà del sito.

Tecniche preventive

Per evitare i furti di dati o di identità è buona norma non prestare il fianco agli attaccanti evitando quei comportamenti superficiali e verificando attentamente alcuni elementi:

1. Evitare reti Wi-Fi gratuite e non protette, presenti in aeroporti e luoghi pubblici, perché quasi sempre sono usate per lo sniffing del traffico di dati.
2. Evitare di utilizzare stazioni di ricarica USB pubbliche, perché potrebbero contenere vari tipi di malware (Usb hijacking, truffa del caricatore USB, anche chiamata JuiceJacking, ossia “spremuta da attacco”, mediante la quale i criminali caricano malware sulle stazioni di ricarica, direttamente nelle “prese” usb o, tramite cavetti nascosti, lasciando collegati alle stazioni qualcosa che poi tresmetta i dati altrove. Questo permette loro di infettare il dispositivo connesso o direttamente esfiltrarne i dati di interesse. Quindi, utilizzare sempre e solo una presa di alimentazione, portando il proprio carica batterie e/o una batteria da viaggio, ricaricandola all’occorrenza.
3. Evitare acquisti impulsivi, prendendo tempo per le verifiche degli elementi sospetti.
4. Controllare la validità del sito cercando in un database di siti falsi per verificare che il sito che si naviga sia legittimo e verifica il proprietario del sito o i dati di contatto. In assenza di questi dati evitare acquisti da quel sito.
5. Verificare la scrittura corretta dei domini su e-mail e URL (per evitare siti di spoofing n.d.r.)
6. Verificare l’esistenza di simboli di sicurezza nei siti di e-commerce cercando un certificato SSL che consenta la crittografia e che contrassegni il sito come sicuro. In particolare, verificare che l’indirizzo URL inizi con “https” e non con “http”.
7. Verificare il venditore mediante siti come WHOIS che possono fornire informazioni sul proprietario del sito e sulla durata di esistenza del dominio. Se il dominio non esiste da troppo tempo, questo potrebbe indicare che il sito è stato costruito solo di recente ed è probabilmente falso. Se non esistono dati di contatto, non procedere all’acquisto.
8. Verificare l’esistenza di una politica di restituzione e di una policy di Privacy in quanto devono essere una parte standard di un sito di e-commerce.
9. Nell’informativa sulla privacy, controllare che il sito non inoltri a terze parti né i dati relativi alla carta di credito o conto bancario, né i numeri di identificazione;
10. Utilizzare solo metodi di pagamento sicuri con vere e proprie icone di convalida nella sezione pagamenti. Queste icone devono essere cliccabili e non essere solo delle immagini.
11. Utilizzare una carta di credito (non prepagata) o un conto PayPal per gli acquisti in modo che sia più facile recuperare i soldi o mettere i soldi in un conto deposito (come con PayPal) fino all’arrivo dell’articolo. PayPal e’ da preferire anche perché grazie a questo metodo di pagamento, il sito web non avrà accesso ai dati personali dell’acquirente.
12. Utilizzare un software di sicurezza che include una funzione anti-phishing, (es.Extreme Security di ZoneAlarm che include l’estensione Web-Secure Anti-phishing Chrome). Questa finzione esamina i campi delle pagine visitate: URL del sito, titolo, layout della pagina, modulo, firma, testo visibile e i link per potenziali minacce ingannevoli, e bloccando gli spazi per l’inserimento delle credenziali. Se un sito è valutato come falso, la pagina viene bloccata impedendo il tentativo di phishing.
13. Evitare di aprire mail e messaggi di mancato recapito se non si sta aspettando alcun pacco.
14. Non aprire e-mail provenienti da fonti sconosciute ed evitare di non cliccare sugli allegati; soprattutto evitare di fornire dati sensibili e/o password di account personali
15. In ambito social media non legare il proprio account a sconosciuti perché potrebbero essere veicolo di compromissione digitale.

Per sensibilizzare tutti gli utenti ai rischi e pericoli che gravano sui dati è stato istituito 28 gennaio di ogni anno dal Consiglio d’Europa nel 2006, il Data Protection Day (o Data Privacy Day fuori Europa n.d.r.). Ogni anno questo giorno rappresenta “un promemoria affinché le aziende siano sempre più responsabili nei confronti delle autorità e dei consumatori per la protezione dei dati; affinché i CIO e i responsabili della protezione dei dati possano evidenziare la questione della privacy dei dati al Board e/o possano implementare la formazione dei dipendenti o i test di phishing per l’addestramento alla protezione dei dati. I responsabili IT dovrebbero inoltre utilizzare questa giornata per rivedere le loro strategie di data protection adottando software di automazione della protezione e del recupero dei dati all’interno dell’organizzazione, garantendo la disponibilità 24 / 7 di applicazioni business-critical. Il Data Protection Day può essere un evento di un giorno, ma è indispensabile mantenere queste buone pratiche di gestione della privacy tutto l’anno” (Fabio Pascali, Country Manager Italia di Veritas).