Tutte le truffe online: come riconoscerle e come difendersi

Le truffe online non sono solo sempre più frequenti, ma negli ultimi tempi stanno anche diventando più pericolose. Basta infatti una piccola disattenzione, o qualche click distratto, per trovarsi nei guai: i nostri dati sensibili potrebbero finire nelle mani di anonimi malintenzionati o, nei casi più gravi, veri e propri criminali potrebbero avere accesso al conto corrente, facendo sparire piccoli e grandi risparmi. Ma come avvengono le truffe online, come ingannano gli utenti e, soprattutto, come difendersi?

Innanzitutto, è necessaria una doverosa promessa: la possibilità di essere truffati in Rete è tutt'altro che remota e i tentativi di raggiro si estendono su più ambiti. Dall'acquisto di prodotti da venditori poco affidabili, con il rischio di trovarsi recapitato un pacco vuoto, fino alle più affinate tecniche di phishing: bisogna sempre prestare molta attenzione a tutto ciò che si fa online. Di seguito, un breve approfondimento sulle tre truffe più frequenti e alcuni consigli per difendersi.

Truffe via sms
I tentativi di truffa via sms sono ormai all'ordine del giorno: a tutti sarà capitato almeno una volta di ricevere un messaggio sospetto, spesso apparentemente relativo al proprio conto corrente. Si tratta di una delle più consolidate tecniche di phishing: i malintenzionati in Rete cercono di dirottare l'utente su un sito malevolo che, nelle fattezze, ricalca quasi alle perfezione quello della propria banca o del proprio istituto di credito.

Per poter andare a segno, i malintenzionati hanno bisogno di conquistare la fiducia dell'utente e, così, puntano sull'effetto allarme. Nella maggior parte dei casi, si ricevono infatti messaggi che ci informano di movimenti sospetti sul nostro conto, di ammanchi o della necessità di aggiornare i propri dati personali. Il tutto correlato con un link, dove accedere per risolvere il problema descritto. Una volta cliccato sul collegamento, però, ci si trova su una falsa copia del sito del proprio istituto di credito e, immettendo i propri dati d'accesso o gli estremi della carta di credito, non si fa altro che consegnarli nelle mani dei criminali.

Un'evoluzione recente di questa truffa non riguarda più i conto corrente, bensì l'acquisto di beni e la relativa consegna. Può infatti capitare di ricevere un sms che informa che un pacco è stato trattenuto dal corriere, con relativo link per sbloccare la consegna e la richiesta del pagamento di un piccolo obolo per gestire la pratica. Anche in questo caso, tutto falso.

Truffe via mail

Simili a quelle via sms, le truffe via mail sono probabilmente le più longeve, esistono praticamente dagli albori del web. Anche in questo caso, i malintenzionati inoltrano ai malcapitati un avviso relativo a problemi vari su conto corrente, abbonamenti, bollette o altri servizi, richiedendo all'utente di seguire un apposito link per sbloccare la situazione.

La tecnica di phishing è sempre quella: viene creato una falsa copia del sito della propria banca o del servizio a cui si è abbonati e, una volta immessi i propri dati, questi vengono sottratti dai criminali. Anche in questo caso, le tecniche si stanno sempre più affinando e, oltre ai classici allarmi relativi al conto corrente, nel target degli anonimi truffatori ci finiscono le piattaforme di streaming. Si tratti di un fittizio sollecito per il pagamento della tariffa mensile, una richiesta di aggiornamento della password, il suggerimento di impostare un nuovo sistema di pagamento: l'obiettivo è quello di rubare i dati. Due le modalità più sfruttate dai malintenzionati:

• La raccolta degli dati d'accesso su vari servizi, per poter sostituire le password all'insaputa dell'utente e quindi impedirne il recupero;
• La raccolta dei dati della carta di credito, comprensivo del codice di sicurezza riportato sul retro della carta, per poter effettuare acquisti o appropriarsi dei risparmi del malcapitato.

A volte i tentativi di truffa sono così raffinati da non permettere, se non con controlli complessi e avanzati, di distinguere gli indirizzi mail veri delle proprie aziende di riferimento da quelli falsi.

Truffe via WhatsApp
In un'era dove la rilevanza dei classici sms è ormai scemata, tanto da essere praticamente relegati ad avvisi automatici oppure all'inoltro di codici di verifica, è fisiologico che le truffe si siano spostate sulle app di messaggistica, come WhatsApp, Telegram e Signal.

In questo caso, i tentativi di raggiro si fanno addirittura più subdoli poiché, nella quasi totalità delle truffe oggi note, i malintenzionati riescono a fingere di essere un contatto conosciuto. Spesso infatti viene riprodotta la stessa immagine del profilo e lo stesso status di un amico, confidando sul fatto che raramente chi riceverà il messaggio andrà a controllare il numero di telefono. Nella maggior parte dei casi si cerca di convincere il malcapitato a cliccare su link malevoli, allo scopo di rubare dati sensibili direttamente o di installare malware che ricaverà queste informazioni una volta installato sul computer. L'esempio classico è quello dell'amico che chiede di scaricare le foto o i video delle ultime vacanze, fornendo un link di download. Vi possono quindi essere richieste di denaro da finti parenti, un'evenienza che colpisce soprattutto gli anziani convinti di parlare con i nipoti, oppure falsi operatori telefonico o dei servizi di energia.

Altre truffe

Come già accennato, le truffe online sono le più disparate e non riguardano solo i tentativi di phishing. Ma quali sono le più frequenti?

• Falsa vendita di prodotti: i malintenzionati mettono in vendita dei prodotti molto richiesti, come smartphone di alta gamma, magari a prezzi allettanti. Una volta effettuato l'ordine, però, il prodotto non viene mai inviato o, ancora, si riceve un pacco vuoto o ricolmo di oggetti voluminosi per far peso;
• Vendita di prodotti rubati: altrettanto frequentemente, soprattutto sui siti dedicati agli scambi per privati, prodotti rubati come smartphone, computer o gioielli vengono spacciati come legittimi, all'insaputa del compratore. Bisogna però prestare attenzione, poiché si rischia di cadere nell'incauto acquisto e nella ricettazione;
• Truffa con riscatto: avviene quando il malintenzionato minaccia l'utente affinché paghi una somma, per riprendere il possesso dei propri dati o evitare altre conseguenze. Avviene molto di frequente sfruttando il senso di vergogna. Ad esempio, i criminali sono consapevoli che una buona porzione degli utenti online approfitta di contenuti per adulti o, ancora, si intrattiene in conversazioni intime con contatti oppure con conquiste trovate sui siti di dating. Così, puntando sulla "pesca a strascico", l'utente viene contattato con la minaccia di rendere pubblici non meglio precisati "materiali compromettenti", richiedendo il pagamento di un riscatto spesso in criptovalute;
• Truffa della bolletta: sempre più frequente in questi anni, complici anche gli elevati costi dell'energia e una più diffuso desiderio di cambiare il proprio fornitore di servizi. I criminali contattano l'utente, via mail o via sms, spacciandosi per il proprio operatore dell'energia, richiedendo di fornire i propri dati per un controllo delle fatture o l'abilitazione di sconti. In realtà, i malintenzionati non fanno altro che prendere i dati per attivare contratti con altri operatori all'insaputa dello stesso cliente, che si ritrova così all'improvviso a pagare costi di attivazione estremamente elevati e tariffe da incubo.

Rischio phishing

La gran parte delle truffe descritte nei precedenti paragrafi riguarda il cosiddetto phishing, così come già accennato. Si tratta probabilmente di una variante del termine inglese "fishing", ovvero "pescare", e si riferisce al tentativo di trovare ignari utenti da cui "pescare" dati personali e finanziari. Ma perché è così diffuso e, ancora, per quale ragione tutti sono a rischio?

Le tecniche di phising sono molto efficaci perché sfruttano l'emotività umana: con una comunicazione allarmante - "Abbiamo notato un movimento sospetto sul tuo conto corrente" - attivano una reazione ansiosa che rende il malcapitato più distratto del solito. Nel timore di controllare i propri averi, l'utente non verifica le url dei link, non nota eventuali errori di battitura nei testi, né piccole difformità tra il sito proposto e quello reale del proprio fornitore di servizi.

Come difendersi

Per quanto diffuse siano queste truffe, i meccanismi di difesa sono alla portata di tutti e decisamente efficaci. A partire dalla prima regola: mai fidarsi di nessuna comunicazione, soprattutto allarmistica, senza aver fatto i dovuti controlli. Questi includono:

• Verifica degli indirizzi: i link forniti potrebbero essere diversi da quello del proprio fornitore di servizi o della banca. Ad esempio, nel nome del dominio potrebbero esserci lettere diverse o doppie rispetto ai siti originali;
• Controllo dei testi: molto spesso i malintenzionati risiedono all'estero e si avvalgono di servizi di traduzione automatici per i loro testi. Se vi sono errori oppure la sintassi appare poco scorrevole, meglio dubitare;
• Non fornire dati: nessuna banca e nessuna azienda seria chiede ai propri utenti di fornire i propri dati personali o gli estremi di carta di credito per operazioni banali, come l'aggiornamento del proprio profilo oppure l'applicazione di uno sconto. E quando si verifica un ammanco o movimenti sospetti, di solito la comunicazione è telefonica, con la richiesta di recarsi alla filiale più vicina;
• Non cedere alle minacce: è abbastanza irrealistico che uno sconosciuto possa essere entrato in possesso di una chat intima avvenuta online o, ancora, di altri materiali compromettenti. Si tratta semplicemente di un tentativo di sfruttare la paura, puntando sul fatto sia molto facile trovare online persone che abbiano fatto ricorso a materiali per adulti. E se vi fossero ragioni fondate per la sottrazione effettiva di questi materiali, non bisognerà pagare ma rivolgersi alle forze dell'ordine;
• Correre ai ripari: se si clicca per sbaglio su un link malevolo, pur non avendo inserito dati, è meglio verificare di non essere stati colpiti da virus e trojan. Ancora, se si sospetta che i propri dati siano stati rubati, si cambino velocemente le proprie password, allertando poi il fornitore dei servizi o l'istituto di credito. Indispensabile è attivare anche l'autenticazione a due fattori che prevede, oltre all'inserimento di user e password, anche dei codici di verifica che vengono inoltrati su dispositivi secondari o via sms.