Sta utilizzando un browser obsoleto. Possono verificarsi errori di visualizzazione e problemi di carattere tecnico.
OK, CHIUDI
Immaginate di chiamare la hotline di una piattaforma di prenotazione o di un istituto di credito: parlate con un collaboratore, gli fornite dei dati personali – salvo poi accorgervi che era tutto una truffa. Sembra un incubo! Eppure è esattamente quel che è successo alla nostra cliente Laura Zanetti.
Due settimane a Fuerteventura: sole, spiaggia, surf! Laura Zanetti* e l’amica Manuela Wyler non vedevano l’ora. Peccato che un paio di giorni prima della partenza, mentre l’amica era in tram, le è stato rubato il portafoglio – con dentro la carta d’identità.
Laura Zanetti ha chiamato la presunta hotline di una compagnia aerea per chiedere se l’amica poteva salire sul volo Zurigo-Fuerteventura anche senza un documento d’identità. Durante la telefonata alla zurighese è stato chiesto di scaricare un’app in cui avrebbe potuto inserire i suoi dati in tutta comodità e sicurezza. Sull’app Zanetti ha caricato una foto del suo documento d’identità e inserito dati bancari e altre informazioni personali.
«Non mi è sorto nessun sospetto. L’addetto era gentile e disponibile. L’app funzionava benissimo. E poi mi è parso del tutto normale che, in mancanza di un documento d’identità, prima di salire su un aereo si dovesse fornire qualche dato.»
La ventinovenne ancora non lo sapeva, ma criminali informatici avevano pubblicato su Internet un numero di telefono falso, fingendo che fosse la hotline della compagnia aerea. In seguito, il presunto collaboratore del call center ha chiesto alla cliente di inserire i dati in un’app falsificata.
I pirati informatici non hanno perso tempo: mentre Laura Zanetti era al telefono con il finto addetto di easyJet, hanno prelevato del denaro dal suo conto bancario e lo hanno trasferito su un conto in un crypto-wallet precedentemente aperto a suo nome. Sempre a nome di Zanetti avevano aperto anche un secondo crypto-wallet su Ramp, ma non vi hanno accreditato nulla.
Fortunatamente Laura Zanetti è titolare di un’assicurazione Cyber privata. AXA l’ha perciò aiutata, tra le altre cose, a segnalare il furto alla polizia e a disattivare i conti in criptovaluta aperti a sua insaputa – e per finire si è fatta carico della perdita finanziaria di CHF 4781 (meno una franchigia di CHF 200).
*Il nominativo della cliente, di cui AXA è in possesso, è stato cambiato per espresso desiderio di quest’ultima.
Nella situazione descritta come si è mossa per aiutare Laura Zanetti?
Per prima cosa le ho consigliato di richiedere una nuova carta d’identità: in queste situazioni, infatti, c’è il rischio molto concreto che l’identità della vittima venga usata per svolgere attività fraudolente nel dark web. Le ho inoltre raccomandato di segnalare l’accaduto alla polizia, sporgere denuncia, bloccare immediatamente la carta di credito vecchia e richiederne una nuova. Le ho spiegato che per quest’ultima doveva assolutamente abilitare l’autenticazione a due fattori. Inoltre ho subito segnalato i conti falsi nei crypto-wallet Moonpay e Ramp e ne ho richiesto la disattivazione.
Per finire ho aiutato la signora Zanetti a segnalare la truffa alle sue banche. A questo proposito è utile poter contare su un supporto professionale e una buona dose di tenacia: se al cliente o alla cliente è imputabile un comportamento negligente, infatti, le banche declinano in genere qualsiasi responsabilità.
Il vishing è una modalità di truffa che mira a carpire alla vittima informazioni personali tramite chiamate telefoniche. Il termine "vishing" nasce dalla fusione delle parole "voice" (voce) e "phishing" (truffa tramite e-mail o messaggio di testo).
L’obiettivo: appropriarsi di dati personali altrui come coordinate bancarie, numeri di carte di credito e d’identità o dati di accesso allo scopo di arricchirsi.
Anche il supporto psicologico è importante. Che tipo di aiuto ha prestato alla vittima?
In questi frangenti la vittima si chiede sempre come ha fatto a cascarci, perché non ha subodorato l’inganno, come mai i cybercriminali hanno preso di mira proprio lei. Insieme alla signora Zanetti ho passato in rassegna l’accaduto: spiegarle come hanno fatto i pirati informatici ad attirarla in trappola è servito a farla sentire meno in colpa. Per la cliente questo supporto psicologico si è rivelato molto importante.
Qualche giorno più tardi, nel corso di un altro colloquio di prevenzione, le ho illustrato i vari tipi di phishing, smishing e, soprattutto, vishing. Questi metodi di truffa cambiano di continuo, si fanno sempre più sottili – e non s’intravede alcuna inversione di tendenza.
Alla fine abbiamo coperto per intero il danno finanziario da CHF 4781 (meno una franchigia di CHF 200) subito dalla signora Zanetti. La decisione di assunzione del danno è tra l’altro arrivata prima che la cliente partisse per le vacanze, il che mi ha fatto particolarmente piacere.
Come funziona tecnicamente il vishing?
In termini tecnici il vishing implica che il truffatore o la truffatrice approfitta della tecnologia telefonica o voice over IP (telefonate via Internet) per tenere nascosti la sua identità e il suo numero di telefono. La persona in questione finge di chiamare da un numero telefonico non collegato al suo indirizzo IP. In questo modo effettua chiamate VoIP spendendo molto poco e, se le persone prese di mira cadono nel tranello, s’impossessa di grandi quantità di dati.
Su quali fattori emotivi fa leva il voice phishing?
Spesso i cybercriminali raccontano storie che alla vittima paiono plausibili e hanno il preciso scopo d’indurla ad agire subito fornendo informazioni sensibili. Si tratta di una tecnica di social engineering intesa a condizionare un’altra persona allo scopo d’impossessarsi d’informazioni confidenziali. I visher ricorrono a strategie psicologiche che permettono loro di sfruttare determinati comportamenti umani e carpire alle vittime informazioni sensibili.
Esistono diverse tecniche di vishing, ma i tentativi di truffa basati su di esse seguono tutti uno schema ben preciso:
Per ottenere ciò che vogliono, i cybercriminali possono ricorrere a diversi strumenti, p. es. numeri di telefono falsi, che permettono loro di presentarsi come dipendenti di enti noti, e storie convincenti con cui conquistare la fiducia della vittima. Possono inoltre mettere alle strette quest’ultima dipingendo scenari che impongono di attivarsi subito. Lo scopo è quello d’indurre la vittima ad agire in fretta e rivelare i propri dati personali.
Come posso proteggermi dal vishing?
È molto importante essere cauti e non rivelare mai informazioni personali o finanziarie al telefono, a meno che non abbiate l’assoluta certezza che chi vi chiama è autorizzato a farlo. Se avete dei dubbi, vi converrà cercare il numero telefonico ufficiale dell’impresa e chiamarla direttamente, in modo da verificare l’autenticità della telefonata ricevuta.
Un ente serio non vi chiederà mai di fornire dati personali come password e numeri di carte di credito o di assicurazione sociale durante una conversazione telefonica.
In caso di chiamata da un numero ignoto è anche consigliabile cercare informazioni su quest’ultimo oppure bloccarlo e segnalarlo all’operatore telefonico. È inoltre possibile segnalare il tentativo di truffa al Centro nazionale per la cibersicurezza. Ciò permetterà di mettere in guardia altre potenziali vittime – e avviare delle indagini.
Noi dei Servizi di prevenzione dei cyber-rischi di AXA diamo grande importanza alla prevenzione e informiamo regolarmente la clientela circa le truffe del momento. Ciò vi permette di essere sempre un passo avanti rispetto agli altri.
Heike Gross è content manager e approfondisce temi interessanti riguardanti cybersicurezza, abitazione, mobilità e molto altro ancora.
