Il software spia di Paragon è stato trovato nei telefoni di almeno 7 persone italiane, tra attivisti e giornalisti. È così raffinato che alle vittime è stato consigliato di buttare via lo smartphone. Ma più di questo, il cittadino comune deve preoccuparsi di altri malware per estorcere i suoi dati. Ecco quali
Il software spia dell’azienda israeliana Paragon è stato trovato nei telefoni di almeno 7 persone italiane, tra attivisti, come Luca Casarini di Mediterranea, e giornalisti, come il direttore di Fanpage, Francesco Cancellato. È così raffinato che alle vittime è stato consigliato, dagli esperti di Citizen Lab, un ente dell’università di Toronto, di buttare via lo smartphone. Ma più di questo, il cittadino comune deve preoccuparsi di altri malware per estorcere i suoi dati. Paragon infatti lavora esclusivamente con governi, a cui richiede un utilizzo “etico” (tanto che dopo lo scandalo in Italia è stata revocata la concessione al nostro paese) e dunque è probabile che venga usato non in maniera massiccia e generalizzata. Ma questo non deve tranquillizzare gli animi. Sono ancora tanti i software maligni utilizzati
Come lavorano gli hacker
La figura dell’hacker solitario che riesce a installare un malware, un software maligno, sul computer di uno sprovveduto, seppur non scomparsa del tutto, è quasi un ricordo del passato. Oggi, a operare, sono spesso vere e proprie organizzazioni criminali che utilizzano il contatto diretto con il malcapitato per aggirare le misure di sicurezza delle banche e degli istituti di credito.
Romano Stasi, direttore operativo di Certfin (centro finanziato da Banca d’Italia e Abi per implementare la cybersicurezza delle banche) intervenuto al webinar di Confconsumatori “Prima e dopo la truffa digitale: strumenti di tutela del cittadino”, nel febbraio 20203, spiegava al Salvagente: “Adesso il frodatore parla con il cittadino, mette in piedi forme di frode evoluta. Questo perché per ottenere i dati che gli servono per trasferire del denaro, ha bisogno spesso di qualcosa che solo la stessa vittima può fornirgli. Le truffe passano soprattutto tramite la manipolazione, modo migliore per ottenere la password o la Otp (la conferma di sicurezza di un’operazione) direttamente dal frodato”.
Cos’è il social engineering
In termini tecnici viene definito “social engineering”, e consiste nello spacciarsi per qualcun altro, in genere un dipendente della banca presso cui si ha il conto, o un funzionario del fisco, per convincere il malcapitato ad aggiungere volontariamente il pezzo mancante al mosaico necessario per portare a termine la frode, oltre alle informazioni già raccolte dal frodatore tramite ricerca sul web, o tramite phishing (tecnica che utilizza mail e sms per ottenere dati, anche attraverso malware).
Come viene agganciata la vittima
Secondo Stasi, nel 2021, 350 milioni di euro sono stati investiti in cybersicurezza dalle banche italiane. Eppure le frodi continuano, come conferma il rapporto Certfin 2022 “Sicurezza e frodi informatiche in banca”, che suddivide i tipi di frodi più diffuse in base alla tipologia. Nel 41% dei casi il punto di primo contatto avviene tramite spoofing da contatto telefonico. Con questo termine si indica, appunto, il truffatore che si finge qualcun altro per far fare alla vittima un’azione decisiva. Nel 27,3% de casi, invece, la persona viene agganciata con sms che usano lo stratagemma dell’alias. “Esistono delle procedure usate dai criminali per sovrascrivere il numero da cui parte la chiamata o l’sms, – spiega Stasi – come se ci si appiccicasse sopra un’altra etichetta. Così magari nel cellulare appare che il mittente è la propria banca e ciò predispone l’utente a rispondere a quella che poi si rivelerà in realtà una frode”. Anche la mail, con un 10,9% di segnalazioni, resta un mezzo di contatto molto usato.
Per quanto riguarda, invece, la tecnologia con cui si finalizza l’operazione, in più della metà dei casi, è la manipolazione dell’utente, con cui ci si finge per esempio il supporto clienti della banca. Nel 26,8% dei casi, invece, a dare il colpo di grazia è un malware.
La frontiera del Qrishing
Adriano Bottazzi, segretario della divisione italiana di Acfe, l’Associazione degli esaminatori certificati di frodi, che conta 90mila esperti in tutto il mondo, fa un esempio per rendere chiaro quanto ingegnosi e aggiornati siano i truffatori in questo campo: “L’ultima frontiera è il Qrishing, la truffa attraverso i Qr code, (quei codici presentati come dei quadratini con dei segni grafici dentro, ndr). Normalmente inquadrandoli con lo smartphone rinviano direttamente a una pagina web, ma sempre più spesso vengono utilizzati anche per fare pagamenti senza contanti dagli esercizi commerciali. Una persona – continua Bottazzi – va dal negoziante, fa l’acquisto, inquadra Qr code, si apre la pagina con l’importo da pagare, e paga”.
Le piattaforme per pagamenti sono sempre più diffuse. Anche Satispay, per esempio, permette il pagamento tramite Qr code. Il problema, però, spiega Bottazzi, è quando interviene il truffatore: “Basta modificare o sostituire il Qr code per dirottare il cliente. Nel caso venga usato per il pagamento, l’azione serve ad accedere ai dati bancari del cliente. Per esempio, è stato scoperto in un parcheggio di Austin, in Texas, che veniva sovrapposto uno sticker a quello originale presente nelle colonnine per pagare, con un Qr code falso. Il malcapitato veniva dirottato su un sito malevolo che scaricava malware”. L’esperto sottolinea come anche in Francia questo tipo di frode si stia diffondendo, tanto che le autorità hanno avvertito la popolazione. “Qui vengono inserite nelle caselle di posta cartoline di mancata consegna di raccomandata finte, con Qr code per poter ricevere nuovamente la raccomandata invece di andare allo sportello, e anche qui si viene dirottati, si inseriscono dati e si scaricano malware”. Nel mondo, spiega Bottazzi, nel 2025 si prevedono 2,2 miliardi di utenti che utilizzeranno smartphone per pagare con Qr code (oggi sono 1,5 miliardi), con un incremento del 29% a livello globale. In Cina il Qr code è il secondo metodo di pagamento dopo i contanti. “Rischiamo di essere invasi da Qr code maligni”, aggiunge l’esperto, “ma per fortuna, almeno fino a oggi, con le banche italiane e i loro sistemi di sicurezza non ci sono pericoli. Né segnalazioni di frodi subite in Italia”. Fino al prossimo colpo d’ingegno degli hacker, verrebbe da aggiungere. Gli strumenti per svuotarci le tasche sono tanti e vari, e anche per questo queste pagine provano a far chiarezza anche chi è poco avvezzo agli strumenti informatici.
I trucchi più comuni
Social Engineering
Presta attenzione alle informazioni che diffondi on line, ad esempio sui social: puoi fornire materiale utile ai frodatori. Accertati della reale identità di chi ti contatta, perché i criminali si spacciano per persone di cui pensiamo di poterci fidare, come un superiore o un operatore della tua banca. Chiediti se la situazione che ti viene presentata sia realistica e, se non sei sicuro, verifica. Fai attenzione se qualcuno, anche un presunto operatore della banca, ti chiede di non accedere al tuo conto per qualche giorno: è una truffa! Non condividere le tue credenziali di internet banking o i dati delle tue carte di pagamento.
Vishing
Fai attenzione alle chiamate indesiderate che creano senso di urgenza o pressione e non ti fidare se ti vengono chiesti dati di accesso al conto, codici delle carte o pin dispositivi. Verifica il numero di telefono sul web, potresti non essere il primo ad aver subito questo tentativo di frode! Se hai dubbi, non avere fretta e non fornire dati.Chiudi la telefonata e chiama l’assistenza clienti della tua banca. Non condividere il pin delle carte, le tue credenziali di accesso al conto on line o altre informazioni riservate. Non trasferire denaro ad account sconosciuti e non fornire codici per autorizzare pagamenti.
Smishing
Se ti arriva un sms con un link, non cliccare e non inserire i tuoi dati, nemmeno se ti dice che hai meno di 5 minuti per riattivare il tuo conto! Verifica on line il numero di telefono o confrontalo con i contatti ufficiali della tua banca. Anche se il numero che ti scrive sembra quello della tua banca, non fidarti se contiene link o se ti vengono chiesti i dati bancari. La tua banca non ti contatterà mai via sms per invitarti a cliccare su un link o chiederti informazioni di sicurezza come username, pin, password o codici autorizzativi del tuo conto on line o delle tue carte di pagamento.
Spoofing
Sospetta di chiamate e sms che creano senso di urgenza o pressione. Ricorda che il nome o il numero del chiamante/mittente che leggi sul display del tuo telefono può non essere autentico! Non fornire le tue credenziali di internet banking o i dati delle tue carte di pagamento. Non trasferire denaro ad account sconosciuti se la richiesta non ti convince.
Truffe sentimentali
Fai attenzione alle informazioni personali che condividi sui social. Cerca le foto delle persone con cui chatti sui motori di ricerca online per verificare che siano autentiche e che non siano già state utilizzate da altri profili. Fai attenzione a errori di ortografia e grammatica, incongruenze nelle loro storie e scuse poco plausibili. Non inviare mai denaro e non fornire i dettagli delle tue carte di pagamento, del conto on line o copie di documenti personali.
Download pericolosi
Scarica file e app solo da fonti attendibili e store ufficiali. Installa un antivirus su computer, smartphone e tablet e mantienilo sempre aggiornato. Fai periodicamente il backup dei tuoi dati e tieni sempre aggiornato il sistema operativo dei tuoi dispositivi. Non aprire allegati di email o sms ricevuti da mittenti sconosciuti. Fai attenzione anche alle email con allegato ricevute dagli amici: i loro dispositivi potrebbero essere stati infettati a loro insaputa
