Tag: truffeonline

Formazione, GDPR, Sicurezza informatica, Social media

Green Pass: attenzione a condividere il QR online

Molti utenti pubblicano sui social network le foto dell’avvenuta vaccinazione. Da qualche ora è iniziata anche la condivisione del codice QR associato al Certificato Verde (Green Pass), senza porre attenzione sul rischio di tale scelta.

Codice QR sui social: rischio elevato

Molte persone hanno l’irrefrenabile desiderio di condividere online la loro vita privata, ignorando le conseguenze. L’avv. Guido Scorsa ha notato che diversi utenti hanno già esibito “trionfalmente” sui social il codice QR del Certificato Verde. Oltre al nome e alla data di nascita (informazioni già disponibili online), ci sono altri dati sensibili, come tipo di vaccino, numero dosi e data di vaccinazione, ma soprattutto viene svelato se e quando è stato fatto un tampone o se e quando l’utente ha avuto il virus.

Guido Scorza, componente del Garante per la protezione dei dati personali, ha spiegato senza mezzi i termini che si tratta di una pessima idea. “Quel QR-code è una miniera di dati personali invisibili a occhio nudo ma leggibili da chiunque avesse voglia di farsi i fatti nostri. Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto di più”.

Insomma, si rischia di lasciare “in giro per il web una scia di propri dati personali per di più sanitari che chiunque potrebbe utilizzare per finalità malevole”. Non solo: “Questa prassi – ha detto Scorza – potrebbe facilitare la circolazione di QR-Code falsi che frustrerebbero l’obiettivo circolazione sicura perseguito con i green pass”.

Falsi “Green Pass” a 150 dollari

Il codice QR viene letto attraverso l’app VerificaC19 dagli operatori autorizzati, come forze dell’ordine e i titolari di hotel, ristoranti o altre strutture in cui è possibile accedere solo esibendo il green pass. Ma l’app verifica solo se il certificato verde è valido. Tutte le altre informazioni non vengono lette né conservate.

Scorza avverte che i dati sanitari potrebbero essere utilizzati per varie forme di discriminazione oppure per truffe mirate e attività di profilazione commerciale. Inoltre la pubblicazione del codice QR potrebbe facilitare la circolazione di green pass falsi. Se proprio non si resiste alla tentazione è meglio comunicare a tutti la notizia, senza condividere immagini.

Nei canali riservati di Telegram e sul mercato nero della Rete si moltiplicano le offerte di documenti fasulli per aggirare le normative anti Covid. E i pirati si vantano: “Abbiamo bucato l’anagrafe europea”. Con 150 dollari pagabili in criptovaluta, e dai 3 ai 5 giorni di attesa, ti forniscono un Green Pass con lo stemma dell’Unione Europea, il nominativo e pure il Qr Code. Che poi funzioni davvero al momento del vaglio con l’app di verifica è tutto da vedere.

Qr code Green Pass
Qr code

Le truffe sul “Green pass”

Sul ‘Green pass’ è intervenuta anche l’associazione dei consumatori Consumerismo No Profit, che ha denunciato come in questi giorni numerosi cittadini abbiano ricevuto messaggi WhatsApp ed email che invitano a scaricare il documento attraverso un apposito link.

“Si tratta tuttavia di una truffa che rientra nel cosiddetto Phishing” spiegano da Consumerismo. Chi accede al link potrebbe ritrovarsi abbonato a servizi non richiesti che prosciugano il credito telefonico, o cedere a cyber-criminali informazioni personali, come numero di carta di credito, dati bancari. Insomma è meglio fare attenzione e ricordarsi che il ‘Green pass’ può essere scaricato solo attraverso questi canali:

Canali digitali

  • Tramite il sito dedicato
  • Tramite il Fascicolo Sanitario Elettronico
  • Tramite App IO e IMMUNI

Canali ordinari

  • Con l’aiuto di medici di medicina generale, pediatri di libera scelta, farmacie.
contattaci
Sicurezza informatica

Phishing: Consigli pratici per stare alla larga dalle truffe online

Oggi parleremo delle truffe online e del fenomeno del phishing e vi daremo dei consigli pratici per starne alla larga.


Sono quasi 4 miliardi gli utenti di posta elettronica in tutto il mondo ed è per questo che gli attacchi phishing continuano ad essere i preferiti dai criminal hacker.

Tra tutte le numerose email che riceviamo ogni giorno, ce ne sono alcune che ci risultano a prima vista importanti o interessanti. In particolare quelle provenienti da banche, poste, assicurazioni, Agenzia delle Entrate, Inps e tanti altri Enti della Pubblica Amministrazione.

Attacchi phishing: come funzionano

Per tanti di questi messaggi, la rappresentazione grafica è talmente familiare che spesso si cade nel tranello della loro falsificazione, se si è un po’ distratti o superficiali.

È il primo punto di forza del Phishing, un fenomeno di truffa informatica che consiste nel sottrarre i dati di autenticazione (principalmente nome e password) facendoli inserire all’utente stesso in una pagina falsa di un servizio che il destinatario usa realmente.

Il termine phishing, infatti, è una variante di fishing (letteralmente “pescare” in lingua inglese) e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari, personali, e password di un utente.

Abboccando alle richieste contenute nell’e-mail si consegnano a siti fraudolenti i propri contatti, l’accesso ai profili digitali e, nel peggiore dei casi, le chiavi d’accesso ai propri conti bancari.

Phishing: Consigli pratici per stare alla larga dalle truffe online

I consigli per difendersi dagli attacchi phishing

Il consiglio più semplice è di non fornire informazioni sensibili al telefono, e non fidarsi mai di mail ordinarie che contengono link. Meglio controllare i propri account direttamente sui siti ufficiali.

E poi seguire alcune semplici precauzioni così riassunte:

  • occhio agli errori. Nei casi di phishing più grossolano, le e-mail contengono errori ortografici, o piccole storpiature nel nome del presunto mittente. In ogni caso il reale indirizzo da cui provengono queste e-mail è differente da quello ufficiale.
  • non credere alle urgenze. È uno dei fattori sui quali il phishing fa maggiormente leva: un pagamento in sospeso da saldare subito, un premio da ritirare a breve o il rischio di perdere un account se non si paga immediatamente. Quando un’e-mail ti mette fretta, il rischio che sia una truffa è alto.
  • attenzione agli allegati. Quando sono presenti allegati con estensione dei file inusuale, o non previsti, è bene prestare molta attenzione. In questo caso, oltre al semplice phishing, potrebbero nascondersi virus dietro quei file.
  • nessuno regala niente. Le e-mail che annunciano vincite di denaro, o qualsiasi tipo di premi, sono quasi sempre fasulle. Uno smartphone in regalo, l’eredità di un lontano parente o la vincita alla lotteria dovrebbero suonare sempre come un campanello d’allarme.

Riconoscere le e-mail e gli sms sospetti

Le e-mail rappresentano senz’altro il vettore principale utilizzato dai criminal hacker per condurre i loro attacchi phishing. Per fortuna, con un minimo di attenzione è abbastanza semplice riconoscere le e-mail sospette. Si tratta quasi sempre di messaggi di posta elettronica, o SMS, che riportano un logo contraffatto e invitano il destinatario ad una specifica pagina web per fornire dati riservati, come per esempio il numero di carta di credito o le credenziali di accesso.

esempio di messaggio phishing via SMS

Pagine web che somigliano in modo quasi perfetto a quelle vere, tanto da spingere l’utente a cliccare senza esitazione sui link opportunamente posizionati.

Gli hacker sono diventati molto esperti e utilizzano metodi sempre più difficili da smascherare, perché tanto più difficili da riconoscere.

Se riteniamo sospetta un’e-mail ricevuta, controlliamo che l’indirizzo appartenga realmente alla persona da cui sostiene di provenire; ad esempio: se il mittente è Apple, ma l’indirizzo e-mail è [email protected] è il caso di stare attenti.

Qualora incautamente dovessimo cliccare su un link, controlliamo bene nella barra del browser (il rettangolo in alto dove digitiamo l’indirizzo di un sito web) di non essere finiti su un indirizzo sospetto.

Anche se simili dal punto di vista grafico alle pagine web originali, spesso il nome del sito presenta minime differenze nell’indirizzo rispetto a quello autentico.

La truffa degli indirizzi sosia

Ci sono, poi, siti web che hanno minime differenze nell’indirizzo rispetto a quelli autentici come paypall.com invece di paypal.com, g00gle anzichè google.com. Sono usati per ingannare gli utenti a cui sfugge la lettera diversa, ritrovandosi a inserire le proprie credenziali di accesso online, che vengono di conseguenza rubate.

Una buona notizia c’è, se si usa il browser Google Chrome. Presto ci si potrà difendere, quasi automaticamente, da queste frodi informatiche grazie a un nuovo strumento. Un’estensione per il browser Chrome che smaschera gli indirizzi sosia. Si chiama Suspicious Site Reporter (clicca per installarlo) e si abilita aggiungendo l’estensione al browser dal web store di Google Chrome, da attivare successivamente.
Bisogna riavviare il browser per fare in modo che entri in funzione. Quello che fa è molto utile: nel momento in cui si cerca di accedere a un sito con un indirizzo “sosia”, ci chiederà se siamo proprio sicuri di volerlo fare.
A questo punto, anche l’utente più distratto andrebbe a leggere bene l’URL, smascherando l’inganno.

Truffe online, phishing e furto di SIM in aumento. Cosa fare per  proteggersi | DDay.it

Canali di attacco preferiti dagli hacker

Oltre alla tecnica più diffusa dell’email per portare a termine un attacco di phishing, ne esistono altre, meno frequenti ma pur sempre efficaci.
Ad esempio, lo spear phishing, realizzato mediante l’invio di email fraudolente ad una specifica organizzazione o persona. Lo scopo di questi attacchi è ottenere l’accesso ad informazioni riservate di tipo finanziario, segreti industriali, di stato, o militari.

Il phishing via WhatsApp e Facebook è una evoluzione inevitabile, data la popolarità dei social network: anche WhatsApp e Facebook sono diventati un terreno fertile per tentativi di phishing, meglio non fidarsi dei messaggi sospetti che circolano nelle chat.

I più comuni si nascondono dietro a finti buoni sconto per il supermercato, abbonamenti per poter continuare utilizzare la stessa applicazione di WhatsApp o usufruire di servizi premium. Rispetto a quelle via e-mail, queste truffe possono trarre in inganno con più facilità, perché condivise nelle chat di conoscenti, amici e persone fidate. Aprendo i link fasulli, il cellulare può essere infettato da un virus che inoltra il link compromesso a tutti i contatti.

Il phishing telefonico o via SMS (conosciuti, rispettivamente, anche con i nomi di vishing e smishing) utilizza un canale forse più diretto, si ricevono chiamate o SMS da numeri sconosciuti che chiamano per conto di un’azienda formulando la richiesta di fornire dei dati. Anche se il motivo della telefonata può sembrare plausibile, il consiglio è di riagganciare e chiamare il numero ufficiale dell’azienda, per chiedere conferma di quanto avvenuto.

Casi di phishing mirati

Concludiamo questo articolo con casi di phishing mirati: i destinatari delle e-mail sono scelti in modo abbastanza accurato. Di solito vengono colpiti gli utenti che generalmente hanno rapporti reali con i veri mittenti.

Il caso di Adobe, per esempio, è emblematico. Un database non protetto, contenente i dati di 7,5 milioni di utenti della suite Adobe Creative Cloud, è rimasto online per circa una settimana. I dati delle carte di credito sono rimasti al sicuro, ma le mail e altre informazioni sono state accessibili.

Adobe ha allertato gli utenti che avrebbero potuto essere soggetti a mail di phishing mirato contro gli abbonati. “I truffatori potrebbero fingersi dipendenti di Adobe o di una società collegata e indurre gli utenti a consegnare ulteriori informazioni, come le password”.

Facendo un po’ di attenzione, si può notare (è evidenziato nell’immagine) come vi siano almeno due anomalie: il lessico non corretto e l’errore grammaticale “il informazioni”.

È fondamentale leggere bene il testo delle e-mail che si ricevono e ricercare forme di linguaggio scorrette e/o errori grammaticali.

INPS

Il caso INPS. Anche l’INPS è protagonista, senza alcuna responsabilità, di una campagna phishing che tenta con l’inganno di sottrarre informazioni sensibili ai cittadini. Si sono verificati tentativi fraudolenti di richiesta di dati attraverso invio di e-mail o telefonate.

INPS, in corso tentativo di truffa tramite phishing
esempio di phishing: mail fasulla dell’INPS

In particolare, INPS segnala che alcuni utenti hanno ricevuto un’e-mail contenente l’invito ad aggiornare le proprie coordinate bancarie affinché l’Istituto potesse procedere con l’accredito di un fantomatico bonifico. E, come se non bastasse, pare che vengano effettuate chiamate da finti operatori telefonici INPS che domandano “dati relativi alla propria posizione nell’ambito di soggetti di diritto privato, come società o associazioni”.

L’invito quindi è di non dar seguito a nessuna richiesta pervenuta tramite mail ordinaria, telefono o porta a porta.

INAIL

Il caso INAIL. L’Istituto Nazionale per l’Assicurazione contro gli Infortuni sul lavoro ha denunciato una nuova campagna di phishing che starebbe impiegando il suo nome “per richieste di pagamento fraudolente”.
L’INAIL spiega che alcuni cittadini stanno ricevendo finte mail che “simulano lo stile dei messaggi di posta elettronica certificata dell’Istituto e contengono un file pdf che riproduce la carta intestata e il formato degli avvisi bonari inviati agli utenti, accompagnato dall’invito a effettuare un versamento tramite IBAN”.

Le e-mail fasulle mostrano come oggetto “Trasmissione Atti INAIL…” e l’allegato PDF che riproduce la carta intestata indica un IBAN che non appartiene all’ente. Si tratta quindi di una truffa. INAIL ha ricordato infatti che la procedura normalmente impiegata per questo tipo di comunicazioni avviene tramite PEC provenienti dal dominio “postacert.inail.it” e, come tutte le PEC, sono corredate dal certificato che identifica la firma digitale del gestore.

Poste Italiane

Il caso Poste Italiane. Uno dei casi di phishing più noti in Italia è quello che ha riguardato Poste Italiane. Si è diffuso sia via SMS sia via e-mail, con lo scopo di sottrarre agli utenti i numeri delle carte di credito e i dati di accesso ai conti correnti.

I messaggi dietro i quali si nascondeva questa frode erano molteplici: in alcune e-mail si comunicava alle vittime che stava per essere disattivato il conto corrente, in altre che c’era un accredito in sospeso oppure era in corso la manutenzione delle misure di sicurezza.

In ogni caso si richiedeva di inserire i propri dati, numeri delle carte di credito e codici di accesso a conti online.

Unicredit

Il caso Unicredit. Gli enti più ambiti dai criminal hacker, però, sono le banche. In questi casi gli utenti hanno ricevuto una e-mail, con tanto di logo, in cui veniva chiesto di inserire i propri dati per evitare la sospensione del conto corrente. L’e-mail sollecitava inoltre l’utente ad agire con urgenza per evitare sanzioni economiche.

Il team di sicurezza informatica di UniCredit ha identificato un caso di accesso non autorizzato a dati relativo a un file generato nel 2015. Questo file conteneva circa 3 milioni di record, riferiti al perimetro italiano, e risultava composto solo da nomi, città, numeri di telefono ed e-mail. In una nota della banca si legge che nell’accesso non autorizzato a file Unicredit “non sono stati compromessi altri dati personali, né coordinate bancarie in grado di consentire l’accesso ai conti dei clienti o l’effettuazione di transazioni non autorizzate”.

UniCredit ha immediatamente avviato un’indagine interna e ha informato tutte le autorità competenti, compresa la polizia. Contestualmente ha contattato, esclusivamente tramite posta tradizionale e/o notifiche via online banking, tutte le persone potenzialmente interessate.

Casi come questi ce ne sono ancora tanti in rete e si susseguono quotidianamente. Per evitare sorprese, è bene ricordare che una banca non ti chiederà mai di fornire via mail le credenziali.