Libero
SICUREZZA INFORMATICA

I truffatori si sono fatti furbi: cosa fanno adesso

Per truffare gli utenti del Web i cybercriminali inventano truffe sempre più raffinate: dal phishing tradizionale si è passati adesso allo "spear phishing"

L’estate è un periodo d’oro per chi fa truffe online: da un lato ci sono Prime Day e sconti stagionali, che moltiplicano le email e i messaggi in arrivo, abbassando l’attenzione delle potenziali vittime, dall’altro c’è molto più tempo libero per lo shopping online e una forte propensione a concedersi qualche sfizio in più, per coccolarsi.

Secondo i dati resi pubblici dalla società italiana di cybersicurezza Ermes, infatti, a luglio e agosto i tentativi di truffa online salgono del 400% e, come è facile immaginare, il brand più imitato dai truffatori è quello di Amazon. Quello che non tutti sanno, invece, è che i truffatori stanno cambiando strategia: il vecchio phishing “di massa” non rende più come una volta, oggi si punta di più sullo “spear phishing“.

Phishing e spear phishing: cosa cambia

Il phishing è un tipo di truffa che si basa sull’imitazione di qualcosa che la vittima conosce e riconosce come affidabile. Una email con un messaggio da parte di una banca, che in realtà punta ad un sito di truffatori, è phishing.

Di solito il phishing si fa su grandi numeri, con lo stesso messaggio che viene inviato migliaia e migliaia di indirizzi email, numeri di telefono o profili social. La logica è semplice: se anche una piccolissima percentuale di utenti abbocca è già tutto guadagno.

Lo spear phishing è l’evoluzione del phishing classico: non è più generico, ma specifico, tagliato su misura della vittima. Non per niente l’immagine classica del phishing è l’amo, mentre in inglese “spear” vuol dire “arpione“.

Con lo spear phishing i truffatori studiano la potenziale vittima e mettono a punto una truffa su misura. Se l’utente pubblica spesso su Facebook foto in cui indossa vestiti costosi, gioielli o orologi di lusso, i truffatori hanno già tantissime informazioni sulle quali lavorare.

Sanno che la potenziale vittima è disposta a spendere per prodotti di qualità, di un marchio importante e che ha un debole per il look. A questo utente non andranno mai a proporre una truffa su un cellulare, ma una su un orologio, un paio di scarpe, un accessorio moda.

Chiaramente c’è molto più lavoro da fare, rispetto al phishing tradizionale, ma, come spiega Ermes, le possibilità che la truffa vada in porto sono superiori di 10 volte.

Come difendersi dallo spear phishing

Lo spear phishing è una truffa online che si basa sull’acquisizione di informazioni sulla vittima. Per difendersi, quindi, ci sono due strade principali: la prima è seguire le regole classiche contro le truffe online, la seconda è ridurre al minimo le informazioni che un cybercriminale può raccogliere su di noi senza troppi sforzi.

Le regole anti truffa sono ormai ben note a tutti e la prima è quella di non avere fretta di comprare: “La frenesia alimentata dalla mole di sconti si traduce in una fretta tale da divenire la leva psicologica per i consumatori, che prestano così meno attenzione all’affidabilità dei siti
incappando in truffe“, spiega il CMO di Ermes Cyber Security, Lorenzo Asuni.

Poi è fondamentale controllare più volte l’indirizzo esatto del sito sul quale stiamo comprando, cercare il numero di telefono dell’assistenza e, anche in caso del minimo dubbio, chiamare per sicurezza.

Importantissimo anche usare metodi di pagamento non riutilizzabili senza un’azione dell’utente, come le carte ricaricabili. Ma, soprattutto, è fondamentale non credere agli asini che volano: una borsa da 1.000 euro non potrà mai costare 100 euro, su nessun sito.

Poi ci sono le regole specifiche dello spear phishing, quelle per non regalare i nostri dati (e con essi ottimi strumenti per truffarci) ai criminali. Meno informazioni personali pubblichiamo online e meno “armi” diamo a chi fa spear phishing. Ciò non vuol dire non pubblicare nulla: possiamo anche mettere le nostre foto su Facebook, ma con un pubblico ristretto, oppure su Instagram, ma tenendo il profilo privato.