Come evitare di essere truffati (tra phishing e malware)
Come evitare di essere truffati, tra phishing e malware, in periodo di crisi.
L’anno appena trascorso, secondo i report elaborati da molte fonti (soprattutto Europol ed ENISA) ha visto un sensibile aumento di attacchi informatici correlati a frodi, inganni o tentativi di truffa a danno degli utenti dei servizi digitali, spesso su argomenti "esca" correlati alla pandemia, al Covid, alle mascherine, ai test e, ora, ai vaccini.
Non è certo una cosa di cui stupirsi: nei momenti di crisi globale, non solo economica ma, anche, sanitaria e sociale, si viene a creare un contesto che è perfetto per le azioni di certi tipi di criminali informatici.
La sensazione di incertezza, la paura costante per noi e per i nostri cari, la crisi economica, l’aumento dei periodi di connessione online, la difficoltà di comprendere a fondo aspetti tecnici e scientifici complessi correlati al Covid sono tutti fattori che hanno contribuito ad un aumento diffuso di vulnerabilità ad attacchi anche apparentemente facili da individuare.
Gran parte di questi attacchi sono veicolati tramite messaggi di posta elettronica – anche certificata – e messaggistica, di tutti i tipi; i tentativi di frode possono arrivare direttamente sul telefono cellulare (in tal caso le difese della potenziale vittima si abbassano ulteriormente) o nella casella di posta e di messaggistica comunemente usata.
Questi tipi di attacchi puntano a far sì che la vittima faccia qualcosa.
Per “fare qualcosa”, in questo contesto, intendo, ad esempio, aprire un allegato, cliccare su un link, inserire le nostre credenziali in un sito/form apparentemente ufficiale/istituzionale, trasmettere informazioni a terzi, disattivare l’antivirus, installare un programma, lanciare un eseguibile, attivare un’app o un servizio, e così via.
Non deve stupire, allora, che la prima, più importante strategia di difesa in un contesto caotico e pericoloso come quello attuale sia di non fare nulla. Esatto: non agire, non fare alcuna mossa (per citare il film Wargames…) anche solo se si abbia un minimo dubbio di sicurezza o di fiducia sul contenuto di un messaggio o sulla veridicità di una pagina o di un sito web.
Sono, in particolare, tre le operazioni che dovremmo sempre tenere come extrema ratio, e analizziamole con cura:
i) (Mai) aprire un allegato. Ecco, di allegati ne circolano tanti, ogni giorno. Ci dovremmo abituare, però, ad aprire soltanto gli allegati attesi, intendendo come “attesi” quegli allegati che stavamo aspettando. Si ricordi, tralaltro, che si può fare, in molte occasioni, una verifica degli allegati dal telefonino: configurando la posta sul cellulare, si possono aprire e visualizzare allegati documentali in un "ambiente", quello del telefono, che non è vulnerabile a malware pensato per i sistemi operativi dei computer fissi o dei laptop. Particolare attenzione agli allegati va portata quando gli stessi sono vettori dei ransomware, ossia dei virus che cifrano tutti i dati di un computer e domandano, poi, il riscatto. Un buon antivirus, di solito, fa anche un controllo costante degli allegati, e occorre sempre prestar fede agli alert dei programmi a protezione del nostro sistema. Non bisogna diffidare soltanto di allegati eseguibili (ad esempio i classici ".exe" o ".vbs") ma anche di allegati che appaiono essere ".pdf" o ".doc" o ".xls", anch’essi possibili vettori di di malware.
ii) (Mai) cliccare su un link. Occorre evitare di cliccare su link contenuti in e-mail non attese o che ci "mettono fretta" (ad esempio: per la scadenza di un servizio, di una carta di credito, di una credenziale). Tali link possono condurre, ad esempio, a siti web malevoli pensati per carpire le nostre credenziali o altri dati, spesso riproponendo, da un punto di vista “estetico” e dei colori, la stessa grafica del sito ufficiale (ad esempio il sito di una banca, o di un’assicurazione, o di un corriere). Alcuni browser più recenti, e alcuni antivirus, segnalano dei siti malevoli, e anche in questo caso occorre prestare attenzione agli strumenti di difesa del nostro computer. A volte, semplicemente passando con la freccetta/cursore del mouse si può verificare la veridicità o meno dell’indirizzo (URL) che ci è stato inviato, e sul quale siamo invitati a cliccare, prima di effettuare l’azione stessa. Può essere uno strumento molto utile per una detection del pericolo prima di agire.
iii) (Mai) comunicare credenziali o altri dati. Per proteggersi da questo tipo di truffe, buona regola è quella di non comunicare mai, per mail o via web, le nostre credenziali ("nome utente" e "password" di uno specifico servizio), nostri dati personali o sensibili, informazioni sul nostro sistema, la sua configurazione, le specifiche della rete, etc. Non bisogna, soprattutto, comunicare tali dati a sedicenti amministratori di sistema, servizi di assistenza, banche, assicurazioni, provider di telecomunicazioni, Procure, ospedali e altri finti enti istituzionali o pubblici.
Molto interessante è anche lo studio psicologico che viene effettuato dai criminali durante la redazione del testo del messaggio per agevolare l’azione della vittima che possa, poi, portare a buon fine l’attacco. Come dicevamo all'inizio, tutti questi sono attacchi nei quali la cooperazione della vittima assume un ruolo fondamentale.
Particolare attenzione, come indice di possibile inganno, andrebbe portata a testi/messaggi che contengano le seguenti indicazioni:
i) Hai vinto un premio/lotteria, o un rimborso, o un altro beneficio, e devi rispondere in fretta altrimenti perdi il privilegio. L’idea di premio, e di aver vinto qualcosa (soprattutto in un periodo di crisi) può ingannare molte persone. A parte che nessuno comunica più vincite via e-mail, dovrebbe insospettire il fatto dei numerosi dati che vengono richiesti per riscuotere il (finto) premio.
ii) Sei stato sanzionato, e devi pagare in fretta una somma per non peggiorare la situazione. Anche la paura è un ottimo strumento per convincere le persone ad agire in fretta e in agitazione, quindi senza pensare troppo. Può essere una sanzione correlata a un sito pornografico, a materiale in violazione del diritto d’autore, a un debito con il fisco o a una vera e propria evasione fiscale /tasse non pagate, e simili. In questi casi la e-mail può anche arrivare con intestazione di un ufficio giudiziario e corredata ad un testo molto formale.
iii) Ti è scaduto un account, una carta di credito, un servizio. Anche in questo caso, si domanda di inserire nuove credenziali per rimediare al problema ma, in realtà, le (vecchie) credenziali vengono “semplicemente” carpite dai criminali.
iv) C’è un problema in una spedizione di un bene. In questo caso la e-mail sembra provenire da un vero spedizioniere/corriere e confida nel fatto o dell’effetto sorpresa (“chi mi avrà inviato mai un pacco?”) o nella normale circolazione quotidiana di pacchi e plichi in grandi uffici o aziende. Il messaggio può contenere anche una finta fattura, o ricevuta, o documento di reso da aprire.
v) Entrano in ballo i sentimenti o il sesso. Molte truffe sono, oggi, portate toccando i tasti del sentimento (assistenza a poveri o anziani, o persone in Paesi disagiati) o del sesso (proponendo incontri piccanti) al solo fine di recuperare somme di denaro.
Si ricordi, anche, della grande diffusione di attacchi “mirati” (prendono il nome di spear phishing). In pratica, oggi è molto semplice raccogliere informazioni su fonti aperte con riferimento a sconosciuti. Ciò consente di preparare dei messaggi o delle e-mail che non sono più generiche ma che sembrano essere proprio dirette a quella persona, in quanto si riferiscono esplicitamente a fatti, accadimenti o beni di quell'individuo. Diffidare, quindi, anche di e-mail che a prima vista siano “personalizzate”.
Questi tipi di attacchi, si diceva, sono molto comuni, ma si possono limitare o annullare con leggeri, ma fermi, cambiamenti dei nostri comportamenti e delle modalità con cui prestiamo attenzione a tutte le nostre azioni in rete e nella società digitale.
Occorre, in particolare, abbandonare la fretta e riflettere sempre, con calma e con i nostri tempi, su qualsiasi tipo di “impulso digitale” che ci possa apparire strano.
La nostra analisi certosina, unita all’azione del nostro antivirus e a una sana diffidenza che dovrebbe, oggi, sfiorare la paranoia, sono le tre armi migliori per contrastare questo fenomeno in costante ascesa.