Sono sempre più frequenti le frodi tramite mezzi telematici. Quasi un italiano su tre (il 27,2%), è stato vittima di una truffa informatica. Il 15,3% ha subìto un raggiro dovuto a una falsa identità e il 13,2% è stato oggetto di furto d’identità. Tutte le tecniche utilizzate hanno come comune denominatore sfruttare la fiducia per carpire o manipolare dati, rubare denaro, eludere i controlli di accesso alle reti e diffondere malware tramite link e allegati malevoli.
La forma più diffusa di truffa informatica è il phishing, ossia il furto di dati sensibili mediante messaggi di posta elettronica ingannevoli che sembrano inviati da un utente credibile. Una variante di frode phishing è lo smishing, cioè il contatto tramite sms di potenziali vittime da parte di criminali tramite l’invio di falsi molto realistici. L’obiettivo è, in entrambi i casi, ricevere informazioni personali o bancarie, o l’introduzione di malware sui telefoni cliccando i link. Nel dettaglio è entrato Ivano Giacomelli, Segretario Nazionale di Codici, il Centro per i diritti del cittadino: “In questi casi non bisogna mai cliccare sul link indicato, perché il collegamento contenuto negli sms così come nelle mail in realtà serve ai truffatori per entrare in possesso dei dati dei clienti così da poter effettuare prelievi a loro insaputa e a loro spese. È importante non farsi prendere dal panico, mantenere la calma e contattare la propria banca per avere chiarimenti sul messaggio ricevuto e su cosa fare”.
I due sistemi di frode, seppur simili, hanno delle differenze. In linea di principio, a differenza di Internet, le reti mobili sono sistemi chiusi; quindi, è più difficile creare e inviare messaggi anonimi. Inoltre, gli operatori di rete possono utilizzare le torri cellulari per individuare la provenienza delle attività dannose, e quindi i cybercriminali devono essere molto mobili e spostarsi frequentemente per evitare di essere scoperti. Di contro, i numeri di telefono personali forniscono anche informazioni sotto forma di prefisso telefonico. Questo può fornire ulteriori dati, quali il luogo e la lingua, che non sarebbero disponibili in un indirizzo e-mail. Un altro rischio deriva dal fatto che un singolo dispositivo può contenere account che danno accesso a informazioni finanziarie individuali e aziendali, dati personali sensibili e documenti commerciali riservati.
C’è poi l’sms spoofing ossia la modifica delle informazioni relative al mittente di un messaggio in modo che il destinatario veda un testo alfanumerico anziché un numero di cellulare; un tipo di attacco informatico basato sulla falsificazione dell’identità. Di per sé non è una pratica illegale: ad esempio viene utilizzata per denunciare in modo anonimo comportamenti scorretti di persone o aziende. Il problema è che viene utilizzato dai truffatori per imitare messaggi di aziende legittime manipolando le informazioni di un utente ignaro. Lo spoofing non ha un target ben definito, chiunque può trasformarsi in potenziale vittima da un momento all’altro. A volte gli spoofer possono essere facili da individuare, ma gli attacchi stanno diventando sempre più sofisticati e richiedono vigilanza costante da parte dell’utente.
Nella frode tramite sim swapping si contatta il provider e, utilizzando alcune semplici tattiche di social engineering, si finge di essere il legittimo intestatario del numero telefonico. Una volta rubato l’account, il criminale ha accesso a tutti i dati personali della vittima e alla sua casella e-mail e può cambiare le password di banca e carte di credito.
In ultimo, lo spam via sms consiste nell’invio di messaggi ad elenchi di numeri di cellulare per proporre offerte e promozioni non desiderate.
Queste frodi aumentano la sfiducia dei consumatori nei confronti degli sms, portandoli ad abbandonare la telefonia in favore di altre opzioni di messaggistica. La conseguenza è una erosione dei ricavi degli operatori di telefonia mobile e un aumento dei prezzi degli altri servizi offerti con una influenza sulla user experience. Il furto di dati e i tentativi di raggirare le persone continueranno ad essere una minaccia nel panorama della digital innovation, è possibile però implementare meccanismi di difesa sempre più avanzati e istruire le persone circa la prevenzione a tali attacchi e sul comportamento nel caso di violazioni.
(C.D.G.)
