Email, buoni o bonifici: così si abbocca al phishing
“Sognare una cucina, una camera da letto, la cameretta del bimbo che nascerà e ritrovarsi dopo mesi di pagamenti con un pugno di mosche in mano. Eppure i soldi che abbiamo versato erano veri. Che ne sapevamo noi che le coordinate del bonifico che usavamo erano di un delinquente e non del mobilificio?”. Maria Luisa è una dei tanti clienti di un megastore dell’a rr ed am en to della Brianza che agli inizi del 2017 ha subito l’enn esi ma truffa del phishing – la madre di tutte le truffe informatiche che si replica in decine di versioni sfruttando la buona fede dell’utente per rubargli dati e informazioni – rimettendoci 4.800 euro. Un gruppo di hacker si è, infatti, impossessato dei nominativi della clientela del negozio mandandogli una email con un nuovo Iban. Così gli ignari clienti, non prestando molta attenzione all’indirizzo esatto del mittente, hanno iniziato a inviare a quel numero di conto corrente gli acconti dei mobili acquistati. L’irrimediabile danno è stato scoperto solo qualche mese più tardi, quando il mobilificio ha contattato i clienti per chiedergli di pagare.
CHI È IL CARNEFICE e chi la vittima? Domanda non affatto banale, visto che il mobilificio non si è mai fornito di un sistema di sicurezza informatica, mentre i clienti non si sono accorti che la mail era tanto simile a quelle che normalmente l’azienda inviava (compreso logo e partita Iva), ma che il dominio era diverso. “Dopo che la banca ci ha liquidati, spiegandoci che non sarebbe scattata nessuna procedura di risarcimento, abbiamo diviso a metà il danno con il mobilificio. E, versando altri 2.400 euro, abbiamo finito per pagare i mobili”, spiega Maria Luisa.
Un’inezia rispetto a quanto accaduto ai vertici del capitalismo italiano. “Caro Gianfranco, dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente. Non mi chiamare perché sono in giro e non posso parlare”. Questa la email che lo scorso 11 settembre riceve l’allora direttore di Confindustria Bruxelles, Gianfranco Dell’Alba. Il mittente è Marcella Panucci, direttore generale di Viale dell’Astronomia, braccio destro del presidente Vincenzo Boccia. Dell’Alba, navigatissimo lobbista e due volte europarlamentare radicale, non batte ciglio ed esegue l’ordine, senza chiedere conferme. Risultato? 500 mila euro della Confindustria sono finiti in un conto estero di cui ancora non si conosce l’intestatario, mentre il dirigente di Confindustria Bruxelles è stato licenziato non essendosi accorto che la mail era arrivata d al l’indirizzo m ar c el la . p an uc ci @ g ma il . c om e non da quello di Confindustria.
Sulla base delle cifre in gioco a livello globale, gli esperti del Clusit (l’associazione italiana per la sicurezza informatica) stimano che l’Italia nel 2016 abbia subito danni per quasi 10 miliardi di euro per attività di cybercrimine. Ma il numero reale è probabilmente più alto: molte aziende, università, ospedali ed enti pubblici, infatti, tendono a non pubblicizzare il fatto di aver subito un attacco, per evitare contraccolpi sulla reputazione e sulla fiducia degli utenti.
“Si tratta comunque di un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica che oggi – spiega Alessio Pennasilico, membro del comitato scientifico del Clusit – arrivano a sfiorare il miliardo di euro. Questa piaga non verrà mai debellata fino a quando si cercherà di inseguire i criminali che saranno sempre davanti alle forze dell’ordi ne che, invece, possono agire solo nella legalità. Bisogna cambiare approccio e convincere tutti gli utenti ad agire con buon senso e ad installare su pc e cellulari programmi che blocchino i virus”.
Fino ad allora le persone
continueranno ad abboccare: dopo un attacco di phishing, fino al 60% dei destinatari clicca sui link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l’attendibilità del mittente, così come emerge da un recente test condotto da Cefriel. “Ogni volta che facciamo questi test – sottolinea Alfonso Fuggetta, ceo di Cefriel – ci accorgiamo che è determinante il fattore umano. La velocità con cui questi attacchi prendono piede dimostra che è necessario un progetto di formazione per cambiare l’approccio culturale degli utenti. Chiunque abbia smartphone, pc o tablet è una potenziale vittima degli hacker”.
SI CONTINUA, quindi, a ripetere sempre lo stesso errore madornale: sottovalutare il phishing e le altre truffe connesse pensando che tutti sappiano cosa siano. “Il giorno di San Valentino ho ricevuto su Whatsapp il messaggio di una mia amica che mi annunciava la vincita di un buono da 150 euro presso Zara se avessi risposto a tre domande”, racconta Veronica, un’universitaria di 23 anni. Dopo aver compilato un finto questionario sulle abitudini di acquisto, alla ragazza è comparsa una schermata dove le è stata comunicata la vincita a patto di condividere lo stesso link con altri 10 contatti presenti in rubrica inserendo nome, cognome e email. “Non ho, però, mai ricevuto il buono e non ho capito cosa sia accaduto”, commenta Veronica. Detto che lo store di abbigliamento, così come H&M, Decathlon, Carrefour o Ikea (le altre aziende coinvolte nella truffa dei buoni sconto), è completamente estraneo, la catena di Sant’Antonio portata avanti da Veronica ha alimentato l’industria criminosa della vendita dei dati personali, che si caratterizza in diverse specializzazioni: c’è chi reperisce i nominativi, chi invia le email e chi si occupa di infettare i computer. Lo scopo della truffa non è, infatti, far attivare i contratti di abbonamento a servizi di suoneria, così come erroneamente viene raccontato, ma ottenere il maggiore numero possibile di indirizzi email che verranno rivenduti per pochi euro a gruppi criminali pronti a riempirci di virus e malware.
Pochi ma efficaci i consigli da seguire: non aprire mai i link e gli allegati contenuti nelle email sconosciute; cambiare di frequente le proprie password; non fornire informazioni sensibili a nessuno via telefono, di persona o via email; controllare l’Url ( indirizzo web) dei siti; mantenere aggiornato il browser e applicare le patch di sicurezza.
DAL MOBILIFICIO A CONFINDUSTRIA Che si tratti del cliente di un negozio o di un esperto lobbista poco cambia: si sfrutta sempre la buona fede
APPROCCIO DI CONTRASTO La battaglia tra forze dell’ordine e cybercrimine è impari: la polizia postale deve agire nella legalità