Non fatevi illudere dal nome, non sono diversivi o passatempi particolari di chi è in cerca di frivoli e gradevoli svaghi. Al contrario! Trovarsi coinvolti in vishing, smishing e phishing è tutt'altro che dilettevole! Bisogna prestare particolare attenzione perché come vi spiegherò, è molto facile finire intrappolati nella rete tessuta da insospettabili truffatori. Uscirne indenni è spesso una chimera. Una volta messo il piede in fallo vi renderete conto di quanto facile sia stato soggiogarvi e di quanto ahimè vi sentiate ingenui guardandovi allo specchio.
Vi parlo con cognizione di causa, in quanto nella mia vita professionale, diverse vittime si sono rivolte a me nel tentativo di porre rimedio al danno subito. La maggior parte di loro lamentava soprattutto un disagio sotto la loro sfera psicologica, abusate della loro innocenza e disattenzione. L’abile truffatore, che probabilmente vi stava studiando già da un po', sfrutta specifiche tecniche cognitive, motivazionali ed emotive facendo breccia sulla vostra buona fede e sulla vostra ignoranza. Si presenta come persona, una organizzazione no profit, un funzionario della vostra banca, etc, assolutamente affidabile, eticamente corretta e disinteressatamente orientato alla risoluzione di un vostro problema.
Ma ritorniamo al contenuto ed all’accezione di questi termini così bizzarri.
Con il termine “pishing” si vuole indicare qualsiasi tentativo con cui si invita il ricevente-vittima a fornire i suoi dati sensibili (codice fiscale, indirizzo di residenza, password di accesso al proprio conto online, numero di carta di credito, pin, etc.), adducendo anomalie di sistema del proprio conto corrente o ragioni similari. Gli addetti ai lavori definiscono “pishing” il tentativo di frode commessa tramite email. Molto probabilmente tale termine scaturisce dalla combinazione di due parole di origine anglosassone. “Phreak” uno dei primissimi nomi dati agli hacker e “fishing” letteralmente pescando, ovviamente pescando informazioni.
Il Vishing e lo Smishing non sono altro che due sottospecie di pishing. Il primo è un pishing per telefono un Voice pishing, il secondo invece viene perpetrato tramite Sms.
Se non vi ho ancora annoiato entrerò nello specifico, aiutandovi nel mio piccolo ad analizzare i più diffusi tentativi di frodi online.
Andiamo con ordine. Phishing tramite e-mail
Gli abili phisher hanno come obiettivo quello di carpire ed impossessarsi dei vostri dati sensibili. Il più delle volte ciò avviene rispondendo semplicemente alla loro email o compilando un form o question board online su un sito Web fake, solo apparentemente identico a quello della vostra banca. Vi inviteranno a fornire i vostri dati adducendo come motivo anomale movimentazioni sul vostro conto o problemi di natura tecnica.
Un’azienda seria, a maggior ragione se trattasi della vostra banca, non vi chiederà mai di fornire i vostri dati sensibili (quelli già li ha) e giammai le vostre password e il vostro Pin. Quando realmente incorrono problemi di natura tecnica possono, al massimo, sollecitarvi a recarvi fisicamente presso il vostro istituto di credito.
Errori grammaticali. Spesso capita che Istituti di credito a voi sconosciuti vi chiedano di compilare un questionario, di comunicare i vostri dati. Il più delle volte queste richieste avvengono anche con banali e palesi errori grammaticali, ortografici, lessicali e sintattici. Vi pare logico che un’azienda di fama mondiale, quotata in borsa, che movimenta miliardi di euro non vagli con attenzione il contenuto delle sue email prima di spedirle? Potrebbe mai perdere la faccia commettendo simili errori?
Se invece è il vostro istituto di credito ad inviarvi l’email perchè non indirizzarla a Gentile Avv. Andrea Maggiulli anziché ad un freddo e generico "Egregio Sign./Gentile Sig.ra"?
Link equivoco. Prestate attenzione, prima di cliccare sul link che vi inviano, controllate bene se rimanda ad un dominio reale e credibile. Inoltre, un sito falso si riconosce anche dalla mancanza del lucchetto serrato davanti all'URL o la dicitura https://. Solo se appare il lucchetto significa che la connessione a Internet è sicura e quindi protetta da persone non autorizzate. Tutti gli istituti di credito posseggono le cosiddette credenziali SSL (Secure Protocol) volte a stabilire un collegamento crittografato tra un browser o un computer e un server o una rete. Ad ogni sessione, il collegamento SSL protegge le informazioni della carta di credito e altre informazioni che non vengono intercettate da soggetti non autorizzati.
Garanzie di un veloce arricchimento. E perché mai proprio a voi perfetti sconosciuti dovrebbero regalare immensi patrimoni o farvi ereditare somme ingenti? Ricevo quotidianamente tante email, ma credetemi non sono mai stato così fortunato.
Urgenza, limitata disponibilità e disgrazie. Come prima accennato i Pisher sono degli abili manipolari e degli psicologi mancati, utilizzano delle tecniche volte a farvi percepire la poca disponibilità di un bene e pertanto vi inducono ad agire con estrema urgenza. Vi aiuterò con una frase, attribuita a Dwight D. Eisenhower, generale e presidente statunitense negli anni 50, “Ciò che è importante raramente è urgente e ciò che è urgente raramente è importante”.
Infine le disgrazie, se vi paventano disavventure cestinate immediatamente l’email, state tranquilli non succederà mai nulla né a voi, né ai vostri cari, nessuno vi cercherà nella vostra casa e nel vostro ufficio con la pistola puntata alla tempia e nessun vaso cadrà mai dal bacone sulla vostra testa.
Smishing, ovvero pishing tramite Sms
Consiste nell’invio alla rinfusa di migliaia di sms “esca” con la speranza che qualcuno abbocchi. Sono quasi tutti caratterizzati dalla richiesta urgente (ricordate come vi parlavo di urgenza?) di convalidare (cliccando su un link “esca”) i vostri dati riservati, username e password. Come sempre sono caratterizzati dal far insorgere nella vittima un profondo stato di ansia e di pericolo rappresentando il pericolo concreto di rischi (blocco del vostro conto, anomale movimentazioni della vostra carta di credito, clonazione del telefono, furto dei vostri dati. Questi sms che spesso non evidenziano un numero di telefono, ma per una mera somiglianza semantica, si collocano in coda ad altri messaggi autentici
Vishing, ovvero Voice pishing.
Ad avviso di chi scrive, il vishing è il più pericoloso. Il Visher fa leva sui vostri meccanismi mentali. Vi studia già da tempo con tecniche chiamate di social engineering. Controlla i vostri social network, ha imparato a conoscere le vostre abitudini, le vostre ansie e le vostre preoccupazioni. Sono i più abili dei truffatori. Potrebbe ben sapere quali corde toccare per smuovere la vostra sensibilità e saper cosa dire per farvi perdere lucidità utilizzando la tecnica dello sfinimento. Probabilmente vi chiamerà quando siete stanchi o quando siete presi nelle faccende lavorative, sì da prestare meno attenzione a ciò che vi propone facendovi sentire a disagio. Il visher è infido e ricordate sa bene come adattare e mutare il suo approccio alla vostra psicologia in real time. Se avete dei dubbi riagganciate e non fornite mai nessuna informazione.
Se ritenere di essere caduti nelle trame di un abile truffatore online, NON VERGOGNATEVI DELLA VOSTRA LEGGEREZZA, può capitare a chiunque. Allertate senza indugio le Forze dell’Ordine e contattate un avvocato esperto in reati informatici. Saprà indicarvi la migliore strada da intraprendere.
Avvocato Andrea Maggiulli