Riconoscere le truffe online e proteggersi dalle frodi su Internet.
Negli ultimi tempi, molte persone hanno ricevuto offerte di lavoro tramite canali Telegram, richieste di amicizia su post di social network con risposta di interesse e proposte di acquisto immobiliare offrendo cifre superiori al prezzo richiesto. Questi sono solo alcuni esempi di quelli che sono gli inganni in forte sviluppo messi in atto al fine di ottenere informazioni personali dei consumatori e perpetrare pratiche illegali che i cyber criminali utilizzano per rubare informazioni sensibili e compiere azioni illecite.
Questo articolo si concentrerà sulle truffe online e come proteggersi da esse.
Recenti studi hanno evidenziato un preoccupante aumento delle truffe online in Italia negli ultimi anni. Secondo il rapporto della Polizia Postale, i profitti illeciti derivanti dalle frodi online sono aumentati del 20% tra il 2022 e il 2023, passando da 114 milioni a 137 milioni di euro. Il numero di persone denunciate per truffe online è aumentato in modo significativo, con oltre 3.500 casi nel 2023. La frode più comune, quale il falso trading online, ha registrato 3.360 casi trattati e 188 persone denunciate per un totale di 109 milioni di euro di profitti illeciti. Inoltre, si è registrato un aumento dei casi di sostituzione di identità, con 4.159 casi nel 2022 e 2.429 nei primi 9 mesi del 2023.
Le truffe online sono sempre più diffuse e non solo possono assumere diverse forme, come frodi nel trading online, furti di identità, profili social falsi e truffe su Google Maps ma possono essere anche suddivise in tre categorie principali in base all’identità adottata dal truffatore. La prima coinvolge un contatto diretto tra truffatore e vittima, come nel caso della truffa degli acquisti o romantica. La truffa degli acquisti inganna le vittime nell’acquistare un prodotto mai ricevuto, mentre le truffe romantiche coinvolgono la creazione di profili falsi per ottenere denaro. La seconda forma di frode coinvolge vittime contattate tramite email o telefonate per richieste di donazioni false o promesse di vincite in lotterie. Ad esempio, falsi premi di lotterie che richiedono pagamento per ricevere il premio promesso. La terza tipologia coinvolge l’uso di identità fittizie, come una banca o carta di credito, per creare un contesto credibile. Questo tipo di frode sfrutta la fiducia delle vittime in istituti bancari o finanziari mediante accesso non autorizzato ai database, phishing o vishing.
Ma vediamo in cosa consistono nel dettaglio.
Il phishing è una truffa online in cui i truffatori si fingono enti affidabili per ingannare le persone e ottenere informazioni sensibili come credenziali di accesso a siti web o dati finanziari. Questo termine deriva dalla parola inglese “fishing”, in italiano, “pescare”. Il primo hacker conosciuto a perpetrare un attacco di phishing ha preso di mira gli account AOL utilizzando il gruppo di discussione Usenet chiamato AOHell nel 1996. Le principali forme di attacco di phishing si verificano attraverso diverse modalità. Una di queste consiste nell’invio di email di phishing di massa, le quali vengono inviate a un vasto numero di destinatari al fine di ottenere informazioni sensibili. Un’altra forma comune di phishing è il cosiddetto spear phishing, che rappresenta attacchi mirati a gruppi o individui specifici, sfruttando informazioni personali per rendere l’attacco più convincente. Inoltre, il phishing può avvenire anche tramite i social media e i motori di ricerca, attraverso la creazione di profili falsi o siti web che imitano quelli legittimi. Infine, vi è anche la forma di phishing nota come sextortion, che consiste nel tentativo di estorcere denaro minacciando di diffondere video compromettenti dell’utente.
Negli anni 2000, gli hacker iniziarono ad utilizzare tecniche di phishing per rubare informazioni bancarie. Successivamente, ampliarono i loro obiettivi includendo anche siti di ecommerce tra le loro vittime. Il social engineering è la tecnica di attacco cyber che sfrutta la psicologia umana e le vulnerabilità delle persone anziché le vulnerabilità tecniche dei sistemi informatici. I social engineer studiano attentamente il comportamento e le abitudini delle vittime per manipolarle e convincerle a rivelare informazioni riservate, come password o dati finanziari, oppure a compiere azioni che permettono l’accesso ai sistemi aziendali.
Alcune delle tecniche di social engineering più comuni oltre al phishing sono l’adescamento, prevede il lasciare dispositivi di archiviazione infetti in luoghi pubblici nella speranza che qualcuno li colleghi ai propri computer, il whaling/compromissione della posta elettronica aziendale “BEC”, sono attacchi mirati a dirigenti e vertici aziendali per indurli a effettuare pagamenti fraudolenti, e il vishing, una forma di truffa che sfrutta il telefono per ottenere dati personali, specialmente bancari o relativi alle carte di credito. Quì i truffatori contattano le vittime fingendosi operatori di banche o società e chiedono informazioni sensibili come numeri di conto, codici di sicurezza e password temporanee.
Lo spoofing è una pratica criminale che consiste nel falsificare l’identità del mittente, sia nelle email che nelle chiamate telefoniche. Questa tecnica di inganno deriva dal termine inglese “to spoof”, che significa “imbrogliare” o “manipolare”. Gli hacker utilizzano lo spoofing per truffare le persone, inducendole a fornire informazioni personali o a compiere azioni dannose. Il termine “spoofing” è stato introdotto nel contesto delle comunicazioni digitali per indicare l’inganno nell’alterare la vera identità del mittente. Sebbene non si conosca con esattezza chi abbia introdotto per la prima volta questa pratica, essa è diventata una forma comune e dannosa di cybercrimine. Le tecniche di spoofing più comuni sono l’email spoofing, l’IP spoofing, l’identity spoofing, il DNS spoofing e l’ARP spoofing. L’email spoofing consiste nell’invio di email contraffatte per truffare le persone, mentre l’IP spoofing implica la falsificazione dell’indirizzo IP per nascondere la vera origine. L’identity spoofing riguarda la falsificazione dell’identità di una persona o di un’azienda. Il DNS spoofing coinvolge la manipolazione delle richieste DNS per instradare il traffico verso siti dannosi, mentre l’ARP spoofing prevede la falsificazione dei messaggi ARP per deviare il traffico su una rete locale.
Per riconoscere una truffa online, è importante prestare attenzione a diversi segnali. Controllare l’URL del sito web assicurandosi che sia corretto e sicuro. Diffidare delle offerte troppo vantaggiose e delle richieste di conferma di dati personali. Verificare sempre l’identità del venditore o dell’azienda e usare il buon senso, prendendovi il tempo di valutare attentamente i messaggi prima di agire. Non rispondere in fretta o d’impulso, ma prendersi il tempo di analizzare la situazione e porre domande se qualcosa sembra sospetto. Se vi sorgono dubbi, contattate direttamente l’azienda o il servizio interessato per verificare l’autenticità della comunicazione. Ricordate che è meglio essere cauti che cadere vittima di una truffa online.
Le truffe online sono un fenomeno in costante aumento, con la consapevolezza e la prudenza necessarie, è possibile proteggersi e difendersi efficacemente da questi attacchi cybercriminali.