La truffa che si nasconde nello smartphone

“Toglietemi tutto ma non il mio smartphone”. Parafrasando una nota pubblicità si potrebbe attribuire, senza sbagliare di tanto, questo pensiero alla maggior parte della popolazione, considerato che il telefono cellulare è diventato uno strumento necessario per svolgere un grande numero di attività quotidiane e, allo stesso tempo, una preziosissima banca dati di informazioni personali.

Tanto che perderlo rappresenta per quasi tutti noi uno dei peggiori incubi. In Italia, la popolazione adulta che possiede uno smartphone arriva al 94%, secondo quanto riporta lo studio Digital Consumer Trends Survey 2022 di Deloitte. Un dato che certo non è passato inosservato a chi fa del crimine informatico il suo mestiere. Pare che lo smartphone sia infatti diventato uno dei principali vettori di truffe e che, in aggiunta alle tradizionali tecniche di phishing, smishing e vishing, si sia aggiunta negli ultimi tempi quella perpetrata tramite il QRCode e denominata QRishing.

Questo è quanto emerge nel rapporto di APWG che ha evidenziato nel secondo trimestre del 2022 una crescita delle frodi perpetrate tramite smartphone del 70% rispetto al primo trimestre dell’anno e che hanno per oggetto soprattutto il settore finanziario.

Le star indiscusse per questo tipo di dispostivi sono dunque le truffe bancarie che vengono messe in atto attraverso e-mail fraudolente (phishing), sms ingannevoli (smishing), telefonate di falsi operatori bancari (vishing) e, dulcis in fundo, la frode cosiddetta QRishing.

QRishing – facili da inquadrare, facili da usare

Quest’ultima indirizza le vittime verso siti malevoli per sottrarre loro le informazioni di accesso nonché quelle finanziarie. Si tratta sostanzialmente di attacchi di phishing che utilizzano i QR Code e che, proprio come nel caso degli attacchi via e-mail, fanno leva sulla curiosità del malcapitato inducendolo a scansionare inconsapevolmente i codici dannosi.

I codici QR legittimi delle aziende sono utilizzati dagli hacker per reindirizzare potenziali vittime a siti web dannosi progettati per rubare loro informazioni personali e finanziarie, installare malware sui dispositivi o deviare i pagamenti verso account sotto il controllo dei pirati informatici.

Per l’ampia e repentina diffusione di questo genere di frodi, l’FBI ha incluso l’attacco QRishing sull’Internet Crime Complaint Center (IC3) di febbraio.

Phishing – il più usato per le frodi relative ai pagamenti elettronici

Ma la minaccia più insidiosa e di gran lunga l’arma preferita dai pirati informatici, rimane il phishing.

Lo ha confermato recentemente il Threat Landscape 2022, il Report dell’Agenzia dell’Unione europea per la cybersicurezza (Enisa) giunto alla sua decima edizione e pubblicato lo scorso 3 novembre, nel riepilogare il quadro generale della sicurezza informatica e le principali tendenze osservate nell’arco di un anno.

Lo stesso fa l’Internet Organised Crime Threat Assessment 2021 (IOCTA) pubblicato dall’Ufficio europeo di polizia (EUROPOL) che conferma come il phishing e il social engineering rappresentino i principali vettori di attacco nelle frodi relative ai pagamenti elettronici e al comparto bancario e finanziario.

Smishing – il disservizio sul conto di home banking

Lo Smishing è un attacco phishing che utilizza i messaggi di testo anziché le e-mail. Il truffatore invia dunque un SMS, che ha tutta l’aria di provenire da un’azienda affidabile. Il contenuto del messaggio può riguardare un disservizio sul conto di home banking (accesso abusivo, imminente rischio del blocco della carta ecc.), oppure una vincita o un buono di qualche tipo da riscattare.

Ovviamente ognuno di questi Sms conterrà un link, cliccando sul quale la vittima verrà reindirizzata a un sito web in cui viene mostrato un modulo da compilare con dati personali o con gli estremi della banca. Tutte informazioni che verranno ovviamente trasmesse ai criminali.

Vishing – il falso agente bancario

Il Vishing, invece, è un metodo per rubare informazioni personali messo in atto attraverso un contatto vocale. Il pirata, o chi per lui, chiama la vittima fingendosi un agente di banca, delle poste, di un’azienda sanitaria o di una compagnia telefonica.

E’ un attacco che inizia solitamente con un messaggio che contiene un numero di telefono da contattare, sempre con il solito obiettivo: convincere la vittima a fornire informazioni per l’accesso a un conto bancario o al proprio fascicolo sanitario o a scaricare un file malevolo (malware) mascherato da aggiornamento di sistema o servizio.

Si tratta di un crimine particolarmente insidioso, perché i truffatori che lo mettono in atto agiscono sulla sfera emotiva della vittima, richiamando l’esigenza e l’urgenza di un determinato comportamento resosi necessario per evitare conseguenze gravi e imminenti.

Nelle grandi organizzazioni, con più sedi e dipartimenti, è molto facile trovare vittime che cadono nel tranello aprendo così le porte dell’intero patrimonio informativo aziendale ai criminali.

Va poi considerato che la tecnologia VoIP (Voice Over IP) consente agli attori malevoli di creare numeri telefonici virtuali con prefissi geografici (a cui è molto più probabile che le persone rispondano) oppure che sembrano quasi identici a quelli di aziende o organizzazioni reali.

Inoltre viene utilizzata anche la tecnica dello spoofing, per nascondere l’ID del chiamante e fingere che la telefonata sia generata da un qualsiasi servizio lecito. La probabilità che la vittima risponda è alta dal momento che la chiamata apparentemente risulta essere legittima, poiché identificata dall’ID.
Tutto ciò rende molto complicato riconoscere la truffa dal nostro smartphone e rintracciare il truffatore.

Come difendersi

I modi per difendersi da queste minacce ci sono e bisogna tenerli sempre a mente. Prima di tutto è importante controllare sempre gli indirizzi, relativamente al mittente e alle Url, per verificare che non ci siano eventuali errori, cosa che fa sorgere subito il sospetto che ci sia in atto un tentativo di truffa. Sarebbe meglio in ogni caso evitare di aprire qualsiasi link, dove non si sia estremamente certi della genuinità del collegamento.

E’ inoltre buona norma utilizzare sempre password sicure e mai banali oppure installare un Password Manager. Ma questi accorgimenti, seppur importanti, non costituiscono una garanzia di protezione perché a permettere ai criminali di farla franca è sempre il fattore umano.  E’ proprio quest’ultimo, infatti, l’anello debole della catena, la crepa attraverso cui i malintenzionati si infilano. E allora se non c’è la giusta preparazione, consapevolezza e corretta postura digitale non c’è password che tenga. Prima o poi l’attacco arriverà.

Per questo è determinate essere formati, preparati e continuamente aggiornati sia in azienda sia nella nostra vita quotidiana. Non solo sulla giusta postura digitale nell’utilizzo di computer, ma anche per quello degli smartphone, dispositivi da cui non ci separiamo praticamente mai e che utilizziamo ormai per la maggior parte delle attività quotidiane.

Per saperne di più sui percorsi formativi di Cyber Guru