Ne abbiamo parlato di recente, i nostri strumenti virtuali sono spesso resi meno sicuri da veri e propri truffatori, di diversa nazionalità ed età, che attaccano e osservano i nostri affari e i nostri acquisti. Abbiamo parlato del Phishing in linea generale. È il momento di analizzare alcune sue varianti particolari: Smishing, Vishing e Man in the middle
Le diverse facce del Phishing
In un articolo precedente, in maniera approfondita, abbiamo definito il phishing e abbiamo provato a consegnarvi qualche consiglio utile per proteggervi e tutelare i vostri affari online.
Il Phishing non è altro che una truffa, che si consuma con l’invio di una mail nella quale si fa riferimento ad un fantomatico istituto di credito o di acquisto online, lamentando una problematica che può essere risolta solo consegnando al truffatore le nostre credenziali, che saranno appunto utilizzate per truffarci e non per risolvere la problematica stessa.
Questa definizione, standard, riassume in linea generale qualsiasi truffa legata al phishing ma le modalità sono davvero molteplici e, particolarmente… fantasiose. Le vicende del famoso Principe Nigeriano o dell’Eredità bloccata all’estero sono ormai al capolinea. Quindi vediamo alcune delle truffe più utilizzate oggi.
A partire dal famoso Smishing. Lo dice la parola, è la forma di phishing che avviene attraverso messaggio privato o SMS. Questa tipologia di truffa ha colpito, praticamente, ognuno di noi. Potremmo testimoniarlo in prima persona, raccontando di tutti quei messaggi “sospetti”, che ci vengono recapitati da fantomatiche banche o con fantomatici sconti da utilizzare sulle più importanti piattaforme di e-commerce. Lo smishing è estremamente simile al phishing classico, commesso via mail, perché ha le stesse caratteristiche e reca quasi il medesimo messaggio. Dopo averci informati di una problematica o di un imperdibile sconto, il truffatore allega al messaggio un link che, se cliccato, ruberà i nostri dati e le nostre credenziali.
Un’altra tipica forma di phishing è quella detta Vishing, dove la V sta per Voce.
In questo caso particolare, il phisher che si mette in contatto con il malcapitato, via mail oppure via sms, lo invita però a fare un numero di telefono. Niente link, niente siti ingannevoli che rubano le credenziali, ma il numero di telefono di un finto call center dove, la vittima, si troverà ad interloquire con un finto centralinista. A volte, invece, si tratta di voci registrate, del tutto simili a quelle dei numeri verdi o dell’assistenza clienti. Perché questa truffa è così subdola? Perché se è vero che ormai siamo quasi tutti educati al sospetto, e a questi attacchi rispondiamo cestinando la mail o segnalandola, non siamo ancora pronti a dubitare delle persone. In questo caso, l’idea di parlare con una persona fisica o con un centralino, ci dà la sensazione di essere nel giusto e di poter rischiare.
E veniamo alla famosa truffa detta Man In The Middle, letteralmente “L’uomo in mezzo”, truffa che si verifica ogni qualvolta due persone sono in contatto tra loro, solitamente per concludere affari o acquisti, e in questa interazione si introduce una terza persona che si sostituisce completamente ad uno di questi, con la conseguenza di trarre in inganno chi crederà di continuare la sua conversazione con la persona in origine.
Come vedete, questa tipologia di phishing è estremamente ingannevole e subdola perché chi ne è vittima non si renderà mai conto dell’errore. Continuerà a credere di aver fatto una transazione sicura, con una persona conosciuta.
Il phisher in quel caso, quindi il Man In The Middle, semplicemente clonerà email e dati di uno dei due interessati, risultando praticamente irriconoscibile.
I Phisher, e cioè i truffatori professionisti, non sono a caccia esclusivamente dei nostri dati. Esiste infatti un’altra casistica di attacchi di Phishing che non ruba i dati ma trasmette virus. Utilizzata agli albori dei sistemi tecnologici, è ancora utilizzata ai giorni nostri, soprattutto per entrare nei sistemi di grandi istituti o, addirittura, di governi. Mail che funzionano come dei “cavalli di Troia”, e quindi virus nascosti o mascherati da comunicazioni urgenti.
Un po’ di statistiche
Ci facciamo prestare un po’ di dati dall’Associazione Italiana per la Sicurezza Informatica e andiamo ad analizzare la situazione delle truffe informatiche, nel nostro paese.
Il Rapporto Clusit 2021 relativo alla sicurezza informatica dell’anno 2020, ci informa che gli attacchi informatici e quelli di phishing, sono stati influenzati in maniera massiccia dalla pandemia. Una buona parte degli attacchi, infatti, ha riguardato finte comunicazioni sul Coronavirus, finte autorizzazioni o certificazioni, cavalcando l’onda dell’ansia e della paura. Non soltanto il furto di dati ma anche la diffusione di diversi virus informatici, sempre con la tecnica della mail accompagnata da link o da allegati non sicuri. Il Phishing, nell’anno 2020, rappresentava il 15% del totale degli attacchi informatici.
I Phisher e, in generale, i truffatori, continueranno a sfruttare le nostre paure e le nostre insicurezze per inserirsi nei nostri programmi e per poter utilizzare le nostre password.
Noi di Nemesis vi consigliamo di tenere sempre gli occhi aperti e di contattare i vostri istituti di credito se non certi dell’origine delle comunicazioni.