Internet è un po’ da sempre, insieme all’e-mail, uno dei vettori principali per le truffe online. Secondo quanto riportato da “The Little Book of Big Scams” (rilanciato anche dallo University College di Londra), le minacce alla cybersecurity non sono nulla di nuovo: infatti, le strategie di “lunga data” continuano a dare i loro frutti.

Guardiamo insieme le principali tipologie di minacce online e cerchiamo di dare qualche soluzione pratica per ridurre i rischi.

Tipologie di truffe online

Sono tanti i rischi che bisognerebbe conoscere oggigiorno, ma è comunque possibile stilare una lista dei “soliti noti” che colpiscono con maggiore frequenza:

• Siti fasulli (pubblici o privati).
• Truffe romantiche.
• Truffe vacanziere.
• Phishing.
• Ransomware.

Siti fasulli

Lo spoofing include un insieme di tecniche di contraffazione volte a ottenere guadagni illeciti. Fra le principali applicazioni pratiche troviamo i siti fasulli o contraffatti. Questi portali imitano in maniera fedele l’originale (può trattarsi di un sito relativo a un servizio pubblico o privato) al fine di ingannare i visitatori e convincerli a fornire dati sensibili (ad esempio attraverso un modulo da compilare online).

Per difendersi dai siti contraffatti, oltre a controllare con attenzione il layout del sito alla ricerca di stranezze e inesattezze, vale la pena rileggere l’URL. I criminali non possono infatti replicare alla perfezione l’indirizzo Internet di un servizio online, quindi attenzione a piccoli errori di battitura o lettere mancanti.

Truffe romantiche

Le dating o romance scam si basano sulla creazione di profili falsi su social o app per gli appuntamenti, con l’obiettivo di ingannare altri utenti e convincerli a effettuare pagamenti o rivelare informazioni personali.

Per ridurre i rischi di queste truffe bisogna sviluppare capacità cognitive digitali: questo significa che bisogna saper distinguere tra profili veri e fake. Chiedendo prove inconfutabili dell’esistenza dell’utente con cui stiamo parlando (ad esempio con una chiamata in diretta, o magari incontrandosi di persona dal vivo) potremmo toglierci qualsiasi dubbio. In generale, meglio non effettuare alcun pagamento a meno che non siamo assolutamente certi dell’identità dell’interlocutore.

Truffe vacanziere

Neanche in vacanza possiamo dormire sonni tranquilli. Quando si viaggia, può capitare di doversi collegare a una connessione Wi-Fi pubblica. Non è il massimo della sicurezza ma alle volte è l’unica opzione disponibile. Il rischio di perdere dati sensibili, come le credenziali di accesso a sistemi di pagamento, non è da escludere.

Ecco perché, quando dobbiamo controllare qualcosa online, una online VPN può essere risolutiva. Creando una connessione privata virtuale, il servizio si collega a server sicuri, cifrando i dati così da renderli del tutto inservibili agli hacker interessati a sottrarli.

Inoltre, ci permette di collegarci a server italiani da qualsiasi parte del mondo. In questo modo, potremo goderci il meglio della programmazione di Netflix Italia (solo per fare un esempio) per scacciare la nostalgia di casa.

Phishing

Forse la truffa digitale più nota, il phishing usa come vettore un mezzo di comunicazione virtuale, ad es. l’e-mail, per convincere il destinatario a compiere un’azione che non effettuerebbe in condizioni normali, al fine di ottenere un vantaggio indebito.

Spesso il corpo della mail è curato nei minimi dettagli, in modo da ingannare la persona cui scriviamo. Una delle tecniche più comuni si basa sull’imitazione (o impersonificazione) di soggetti importanti all’interno di un’azienda e la richiesta urgente di compiere una determinata azione (ad es. cliccare su un link ed effettuare il login a un sistema per una correzione).

Se tutto va secondo i piani, l’organizzazione criminale che ha messo in piedi il tentativo di phishing potrà sottrarre le credenziali di accesso e violare un sistema informatico in modo rapido e semplice.

Per ridurre i rischi del phishing, bisogna investire sulla formazione delle risorse umane: oltre a corsi teorici, è bene organizzare esercitazioni pratiche, così da far capire i principi fondamentali in tempi brevi.

Ransomware

Una volta ottenuto l’accesso a un sistema informatico col phishing, l’hacker può rilasciare al suo interno un ransomware. Si tratta di un malware in grado di sottrarre o rendere inservibili dei dati aziendali, con lo scopo ultimo di richiedere un riscatto.

Con quest’attacco viene infatti lasciata una vera e propria nota che avvisa l’azienda dell’avvenuta violazione, fissando un termine perentorio per il pagamento della somma (solitamente in bitcoin). Pagare e cedere alle pressioni delle organizzazioni criminali è raramente la scelta giusta. Nulla vieta, infatti, agli hacker di tornare all’assalto, richiedendo un ulteriore pagamento. Il ransomware è forse l’insidia più complessa in quest’ambito, e per disinnescarla è necessario un approccio su più livelli:

• Proattivo: alla ricerca di eventuali credenziali rubate che potrebbero fornire l’accesso al sistema informatico.
• Preventivo: basato sulla compartimentalizzazione dei sistemi, così da distribuire in modo uniforme gli asset.
• Procedurale: attraverso solide pratiche di gestione delle password e la rapida installazione delle patch di sicurezza.