Sta utilizzando un browser obsoleto. Possono verificarsi errori di visualizzazione e problemi di carattere tecnico.
OK, CHIUDI
Il phishing è una delle truffe più diffuse su Internet. Anche AXA riceve ogni giorno segnalazioni di clienti che sono vittime di varie forme di phishing. È il caso di Claudine Berger* di Losanna a cui i cybercriminali sono riusciti a sottrarre CHF 13 000.
Un tavolo da pranzo di ciliegio e una sedia a dondolo di Eames messi in vendita su una piattaforma di vendita. Claudine Berger ha proposto questi mobili sulla piattaforma online: nel giro di pochi giorni aveva già una potenziale acquirente. «Ha detto di chiamarsi Caroline DaSilva e di abitare a Versoix. Mi ha chiesto il numero di cellulare e mi ha contattato su WhatsApp. Non ci ho trovato niente di strano», racconta.
Nella chat le ha rivolto alcune domande sui mobili e sulle modalità di ritiro e poi le ha inviato un link. Claudine Berger non si è insospettita: «La potenziale acquirente sembrava una persona alla mano e si esprimeva correttamente. Mi ha spiegato che era un link a un servizio di consegna facile e comodo proposto dalla Posta Svizzera. L’ho trovato molto carino da parte sua visto che avrei dovuto occuparmi io della consegna e dei relativi costi: mi evitava una lunga ricerca consentendomi quindi di risparmiare tempo».
«Con il senno di poi mi chiedo perché non abbia sospettato nulla, dopo tutto le notizie di nuove tecniche di phishing sono all’ordine del giorno. Ma anch’io, come la maggior parte delle persone, pensavo che non avrebbe mai potuto succedermi una cosa del genere».
Claudine Berger, 30 anni, di Losanna, ha inserito le sue credenziali sulla pagina fasulla della Posta Svizzera, addirittura di due carte diverse perché sembrava che la prima non funzionasse. «La pagina riproduceva fedelmente il portale della Posta. Non ho visto nulla che avrebbe potuto mettermi in guardia. E dire che sono molto sensibile al tema della pirateria informatica giacché mi occupo di Software Engineering», fa notare.
Era un meccanismo particolarmente subdolo perché per l’intera durata della transazione fraudolenta Claudine Berger ha avuto la possibilità di chattare con la sua interlocutrice che le ha dato risposte plausibili. In tal modo i cybercriminali hanno avuto accesso anche da remoto al suo conto PostFinance e sono riusciti a effettuare prelievi da diversi conti. «CHF 13 000 in tutto, una somma allucinante», spiega. «All’inizio è stato un vero e proprio shock. Il fatto particolarmente inquietante è che i miei dati hanno continuato a girare su Internet. Solo quando ho contattato il Servizio clienti della mia banca per risolvere un problema tecnico ho capito che si trattava di una truffa».
Circa due anni prima Claudine Berger aveva stipulato un’assicurazione Cyber per privati. AXA le ha fornito assistenza nelle fasi successive, quando si è trattato di contattare le banche, e infine ha coperto l’intero danno finanziario. Come accade nella maggior parte dei casi non è stato possibile individuare i responsabili.
*Il nominativo della cliente, di cui AXA è in possesso, è stato cambiato per espresso desiderio di quest’ultima.
«Sono felicissima che AXA abbia coperto l’enorme perdita da me subita. Continuo a fare acquisti online, ma ora sto ancora più attenta. Anche la conversazione telefonica con Delia Moore dell’assistenza clienti dei Servizi di prevenzione dei cyber-rischi di AXA mi è stata di grande aiuto e mi ha fatto sentire più sicura».
Signora Moore, con quale frequenza la contattano le vittime di phishing?
Quasi ogni giorno mi imbatto in casi del genere. Il phishing è un tema scottante: si può essere adescati con la prospettiva di uno straordinario investimento estremamente lucrativo, l’offerta di un lavoro molto remunerativo o una richiesta urgente di cambiare la password. Chi clicca sul link e inserisce i dati personali finisce sempre per subire una perdita finanziaria. Come se non bastasse, proprio perché il cliente può essere accusato di negligenza spesso le banche rifiutano di risponderne. I pirati informatici adottano tecniche sempre più raffinate: per esperienza so che può succedere a chiunque. Quando si naviga su Internet è importante agire con maggiore consapevolezza e prudenza.
Che tipo di assistenza ha fornito alla signora Berger?
Innanzitutto mi sono sincerata, insieme a lei, che tutte le carte bancarie e di credito in questione venissero bloccate e che le password di tali conti e carte fossero cambiate. Inoltre, ritengo sempre particolarmente importante predisporre l’autenticazione a due fattori.
L’ho aiutata a notificare alle banche gli addebiti fraudolenti poiché da noi l’iter di liquidazione del danno può essere avviato solo dopo il coinvolgimento di queste ultime. Ha capito subito perché aveva commesso quell’errore, ho quindi potuto darle alcuni utili consigli in materia di prevenzione.
In un secondo colloquio abbiamo predisposto insieme il monitoraggio automatico di e-mail, numeri di telefono e carte di credito sul suo profilo personale dei Servizi di prevenzione dei cyber-rischi di AXA. Solo parlando con me ha realizzato che il monitoraggio automatico dei suoi dati personali su Internet costituiva parte integrante dell’assicurazione Cyber AXA, il che l’ha fatta sentire più tutelata.
Naturalmente per lei è stato un grande sollievo sapere che AXA si sarebbe fatta carico dell’intero danno finanziario.
Phishing viene da «fishing», che in inglese significa «pescare», ed è uno stratagemma usato dai pirati informatici per impadronirsi illegalmente, nella maggior parte dei casi, del denaro o dell’identità altrui.
A tale scopo utilizzano e-mail (phishing tradizionale), SMS o messaggi di testo inviati via WhatsApp, iMessage o WeChat (smishing) o telefonate (vishing) contraffatti per attirare le vittime su siti Internet fittizi e spingerle a inserire le credenziali delle proprie carte di credito in moduli online o ad aprire allegati infettati da virus nella posta elettronica in entrata.
Oltre a subire un danno finanziario, spesso le vittime sono anche disorientate. Che tipo di supporto psicologico fornisce loro?
Proprio nel primo colloquio spesso i clienti sono ancora sotto shock e non hanno ben chiaro che cosa sia successo. È quindi importante ascoltarli e appurare il modus operandi del truffatore nel caso specifico. Innanzitutto, li stiamo a sentire attentamente e cerchiamo di capire insieme a loro la dinamica dell’attacco informatico, dopodiché forniamo vari tipi di aiuto, dalle misure immediate come il cambiamento della password alla liquidazione del danno finanziario. In casi particolarmente critici entro 12 ore li mettiamo in contatto con un professionista in grado di dare loro un supporto psicologico.
In che modo le misure di prevenzione dei cyber-rischi possono proteggere dal phishing o dallo smishing?
Le clienti e i clienti AXA che subiscono tentativi di phishing via e-mail o SMS possono rivolgersi direttamente all’assistenza clienti o verificare in prima persona sulla piattaforma dei Servizi di prevenzione dei cyber-rischi l’attendibilità della corrispondenza di dubbia natura ricevuta. Provvediamo inoltre a inviare loro periodicamente messaggi di avviso sulle truffe telematiche più recenti per garantire una navigazione su Internet «a prova di bomba».
Le è già capitato di cadere nella trappola del phishing?
Per fortuna no, ma mi sarebbe potuto tranquillamente succedere. Infatti, solo da quando lavoro presso i Servizi di prevenzione dei cyber-rischi di AXA ho adottato le misure di sicurezza essenziali su tutti i dispositivi. Per me era importante diventare una cliente esemplare per poter fornire una consulenza più autentica e convincente. Concretamente ciò significa impostare su tutti i dispositivi password complesse e diverse nonché l’autenticazione a due fattori.
Siamo bombardati da e-mail e chat e non sempre è facile valutare correttamente i messaggi ricevuti. Per riconoscere i tentativi di phishing sono necessari prudenza e un po’ di sano buonsenso.
Ecco gli aspetti a cui prestare attenzione:
In passato le e-mail di phishing spesso contenevano errori di ortografia e di grammatica poiché molti messaggi originariamente scritti in altre lingue venivano tradotti da programmi di traduzione scadenti. Tuttavia oggi questi sistemi hanno fatto passi da gigante – soprattutto DeepL – e nelle frasi semplici non commettono quasi più errori.
Per conseguire i propri obiettivi spesso i cybercriminali utilizzano tecniche psicologiche che rientrano nel cosiddetto Social Engineering. Si qualificano come autorità e si presentano a nome di un’azienda famosa o mettono fretta dando scadenze ravvicinate o proponendo offerte limitate. Lo scopo è sempre lo stesso: spingere le potenziali vittime a fare o rivelare qualcosa che le danneggi.
Non aprire mai l’allegato di un’e-mail di un mittente sconosciuto. Potrebbe contenere un trojan capace di danneggiare il sistema.
Attenzione anche ad amici e colleghi che chiedono in una chat il numero di telefono dell’interlocutore o gli inviano un link senza nessun commento. Può trattarsi di un malware.
Prima di inserire le credenziali per effettuare il login controllare l’URL di una pagina web e verificare se è criptato. Se il collegamento è sicuro, l’indirizzo comincia con «https» invece che con «http». Inoltre, se nel browser viene visualizzato il simbolo di un lucchetto nella riga dell’indirizzo significa che il collegamento è criptato e quindi sicuro. Non inserire mai le credenziali di login dopo aver cliccato su un link contenuto in un’e-mail, ma accedere sempre direttamente dalla pagina web del provider.
In genere le banche e i rivenditori online non mandano e-mail per richiedere l’aggiornamento di dati personali. A chi dovesse ricevere un messaggio del genere consigliamo di recarsi subito sulla pagina web del provider (inserendo l’indirizzo direttamente nel browser) e di accedere da lì. In caso di dubbio, passare il mouse sul link contenuto nell’e-mail per vedere a quale pagina è collegato. Occorre anche sincerarsi che la dicitura dell’indirizzo web sia corretta (ad es. non «payppal.com» ma «paypal.com»).
È importante inserire i dati della propria carta di credito su un sito solo se si è assolutamente certi che sia attendibile. Diffidare dei siti che promettono regali o denaro.
Le password andrebbero cambiate ogni 30-45 giorni. Mantenendo sempre le stesse, si consente ai pirati informatici di avere accesso illimitato a un account compromesso.
Per saperne di più leggere l’articolo del nostro blog «I consigli più efficaci per una password sicura».
Predisporre un’autenticazione a due fattori diventa sempre più importante. Soprattutto nel caso dell’e-banking il pagamento viene approvato solo in presenza di un’ulteriore autorizzazione. Il 2FA o autenticazione a due fattori è un sistema di verifica dell’identità in cui, oltre alla password, si seleziona un secondo metodo per effettuare il login oppure occorre inserire due fattori di autenticazione invece di una password per poter accedere a una pagina web, a un’applicazione o a una rete.
Heike Gross è content manager e approfondisce temi interessanti riguardanti cybersicurezza, abitazione, mobilità e molto altro ancora.
