Come evitare le truffe sul web: i consigli della Polizia Postale Attenzione ai sistemi di autenticazione, ai propri dispositivi, ai messaggi fraudolenti, ai raggiri anche via PEC

143 Letture Cronaca

Anche durante le ferie la truffa è dietro l’angolo. In questo ultimo periodo i target sono soprattutto professionisti e imprese e la truffa viaggia via PEC. La vittima si vede recapitare un messaggio da un conoscente, spesso mediante la casella di posta elettronica e viene invitata a cliccare su un link.

Ma il link dà accesso ad un software malevolo che infetta il device dell’utente o quantomeno entra nella casella di posta, accede alla mailing list ed invia file malevoli a tutti gli indirizzi e mail presenti nella rubrica della vittima, facendo apparire che sia lei il mittente. Attenzione, dunque, a verificare la provenienza delle mail e a non aprire allegati o cliccare su link indicati se qualcosa nel tenore del messaggio ci lascia perplessi. Anche gli indirizzi PEC, infatti, non ci tutelano completamente dalla presenza di virus o malware.

Infatti la loro caratteristica è quella di indicarci con certezza l’identità del mittente ma se quest’ultimo è stato oggetto di attacco o ha il dispositivo infetto, la pec inviata non è più sicura e può fungere da veicolo di infezione o essere uno strumento di phishing. Attenzione a falsi messaggi provenienti dall’INPS in cui si richiedono pagamenti per contributi dei dipendenti. L’INPS ha infatti comunicato che non è origine delle mail di richiesta che stanno pervenendo a uffici professionali o ditte del nostro territorio. Non fornire dati attraverso il canale whatsapp: diffidate del fatto che enti o società richiedano di fornire dati personali attraverso questo canale. Non è la prassi ufficiale e quindi non aderite alle richieste.

Anche in estate, attenzione alle modalità di compravendita di valuta estera e di moneta elettronica: stanno pervenendo segnalazioni di questo tenore da diverse vittime. Banche e consulenti finanziari non possono chiedere al cliente di installare software c.d. di “remotizzazione” (tipo teamwiewer) poiché la normativa sulle società finanziarie non lo considera una prassi corretta ed è vietata dalla legge. Pertanto attenzione a tali richieste: sono sempre irregolari e quasi sempre nascondono un tentativo di truffa.

Per effettuare pagamenti o per ricevere denaro, infine, è corretto ricorrere ai tradizionali sistemi di home banking. Si tratti dell’utilizzo del token, si tratti delle apposite app., sono mezzi di per sè sicuri, essendo programmati in maniera piuttosto solida. Anch’essi, tuttavia, possono fornire una possibilità di attacco agli hacker. Il problema, infatti, è più spesso costituito dal sistema operativo del p.c. o dello smartphone quando non piuttosto, dallo strumento stesso. Un sistema infetto consente all’hacker di conoscere password e/o pin e quindi entrare nel conto corrente on line, disporre bonifici, ricariche e, quindi prelievi.

Spesso non occorre neppure che l’hacker sia così esperto da violare password, porte, sistemi. Molto più spesso si tratta di un bravo manipolatore, un ingegnere sociale che induce la vittima a fornire essa stessa le credenziali per entrare nel conto on line. Non è da ingenui cadere nelle trappole, gli artifici sono credibili e ben confezionati, le domande e le attività richieste sono credibili ed efficaci per l’autore del reato. Di sicuro proteggere il p.c. e lo smartphone con sistemi di sicurezza è indispensabile, ma essere diffidenti con chi ci rivolge richieste insistenti, poco comprensibili o illogiche è del pari importante per salvaguardare i nostri risparmi.

Così pure, ben vengono i sistemi di autenticazione a due vie, offrono di sicuro una garanzia ulteriore di identificazione dell’autore della disposizione, ma quando una delle due vie è compromessa (la mia scheda telefonica è bloccata perchè qualcun’altro sta utilizzando la numerazione) la sicurezza non può più essere garantita ma anzi, proprio lo strumento deputato a garantirla (il messaggio inviato all’utente) diventa la via per effettuare il prelievo fraudolento. In caso di non funzionamento della scheda telefonica su cui viene inviata la password, quindi, si consiglia di contattare l’operatore telefonico e verificare se vi sia stato il blocco e la riapertura di una nuova scheda. In tal caso è opportuno bloccare immediatamente il conto corrente tramite numero verde bancario o operatore di sportello, se disponibile. In ogni caso la tempestività è importante: contattare l’istituto di credito e/o le Poste e sporgere denuncia evidenziando eventuali tentativi di phishing e/o malfunzionamenti dei supporti telematici.

E’ sempre buona norma verificare che la password di accesso al sito di home banking non sia memorizzata di default sul supporto, nonchè che il log out sia stato veramente effettuato. Non memorizzare sul supporto i codici di sicurezza, di qualsivolglia natura, ma digitarli ex novo di volta in volta.

Infine: attenzione alle comunicazioni su whatsapp in quanto la crittografia end to end si applica durante la comunicazione ma non quando essa viene visualizzata o scaricata sul supporto; inoltre il numero associato a whatsapp e che appare al ricevente potrebbe essere alterato dall’hacker e/o corrispondere ad un ignaro utente estraneo al fatto. Anche in vacanza, quindi, usiamo prudenza. Le truffe sono sempre al lavoro.

dalla Polizia di Stato – Polizia Postale