Il CSIRT (Computer Security Incident Response Team), una squadra composta da informatici dell’Agenzia Nazionale per la Cybersecurity, ha analizzato tre casi diffusi di truffe on line, in particolare il caso di una pagina hackerata, di una consegna non effettuata e di una proposta di lavoro.
Il CSIRT ha studiato le tre diverse situazioni per fornire agli utenti indicazioni per cadere nella truffa.
Quando, ad esempio, si riceve una comunicazione del tipo “Il tuo sito è stato hackerato” – sia esso un blog, un profilo social o un’altra pagina personale, a cui si accede con nickname e password, bisogna sapere anzitutto che lo scopo principale dell’autore di questi alert è ottenere un pagamento in Bitcoin, la più famosa tra le cosiddette criptovalute, dietro la minaccia di pubblicare dati aziendali sensibili, dei quali il malintenzionato sarebbe in possesso.
In questo caso il CSIRT suggerisce agli utenti e alle organizzazioni eventualmente prese di mira da questa tipologia di attacchi di verificare scrupolosamente le e-mail ricevute. Inoltre, consiglia di attivare misure aggiuntive come il controllo dei dati di traffico, l’analisi delle infrastrutture e di implementare sistemi di protezione aggiuntivi.
Il secondo caso riguarda il finto pacco e il tentativo di consegna. In epoca di e-commerce è ormai abbastanza ordinario e diffuso acquistare prodotti online e vederseli recapitare a casa. Può capitare di ricevere mail in cui viene comunicato che al proprio indirizzo è stato effettuato un tentativo di consegna non andato a buon fine e dove è scritto “Siamo qui per informarti che abbiamo bisogno di una conferma: clicca qui. Si tratta di un tentativo di truffa; infatti, cliccando su false conferme si apre una pagina che chiede il riepilogo dei propri dati per effettuare un pagamento su un sito sicuro, magari con tanto di loghi della propria banca ben evidenziati, per rendere più credibile il tutto.
Bisogna evitare di inserire i propri dati bancari su portali di cui non si conosce l’affidabilità. Occorre verificare scrupolosamente i mittenti delle e-mail ricevute e la relativa attendibilità. Nel caso in cui si fossero inseriti i dati della carta di credito occorre contattare il servizio clienti ed eventualmente bloccarla.
Una delle truffe più diffuse consiste nel proporre finte offerte di lavoro soprattutto sui social network. Una volta agganciata la vittima, viene proposto di fare un colloquio di lavoro informale via Skype e di visualizzare un documento Pdf per valutare le condizioni offerte. Ma quella pagina rappresenta un documento infetto, che inocula un malware sul computer ospite.
Anche in questi casi occorre assicurarsi sempre dell’attendibilità del soggetto con cui si comunica chiedendo, ad esempio, un’e-mail aziendale o un contatto telefonico dell’azienda. Si può, inoltre, bloccare l’esecuzione di software non attendibili e non firmati, aggiornare costantemente i software antivirus ed anti-malware, non avviare file eseguibili se non si è certi della provenienza o della legittimità del contenuto.
