Fabio Salsa
Consulente finanziario
Nella veste di clienti di servizi bancari stiamo diventando sempre più digitali: la tendenza ha subito una accelerazione dal COVID-19 che ha generato una forte spinta all’utilizzo degli strumenti e dei canali elettronici a distanza e non solo nella fruizione dei tradizionali servizi bancari di pagamento ma anche in quelli di investimento.
In questo contesto le cyber frodi sono in formidabile aumento e in continua evoluzione con utilizzo di tecniche sempre più sofisticate.
Obiettivo del mio contributo è aiutare i lettori a riconoscere le minacce di frode, a proteggersi da queste e soprattutto, se possibile, evitarle.
Descriverò le principali tecniche di frode sulle quali porre la nostra attenzione a cui farò seguire spero utili suggerimenti di buone regole per comportamenti virtuosi.
Il phishing è la tecnica di frode regina delle cyber frodi messa in atto da malintenzionati, definiti phishers, che contattano gli utenti tramite email, sms, WhatsApp o telefonate.
Questi messaggi sono molto simili nella grafica e nel contenuto a quelli che la banca può inviare ai propri clienti e hanno l’obiettivo di catturare informazioni riservate e sensibili.
Tramite questi messaggi potreste essere invitati a cliccare su un link che indirizza a una copia fittizia del sito ufficiale della banca, a scaricare una app fraudolenta, a comunicare in vario modo codici della banca online, dati degli strumenti di pagamento elettronico o informazioni personali.
Come riconoscere un messaggio di phishing?
Occorre porre molta attenzione al contenuto del messaggio: sospettate di avvisi di situazioni particolari come per esempio presunte vincite a fantomatici concorsi, imperdibili offerte di lavoro e omaggi ma in particolare problemi verificatisi con il proprio conto corrente, scadenza delle password di accesso.
Soprattutto sospettate di inviti ad agire su link e aree operative al fine di collegarsi per sbloccare il conto o regolarizzare la propria situazione bancaria.
La richiesta di codici e informazioni con l’invito a inserire i dati e i codici personali, per aggiornare dati anagrafici o verificare posizioni e transazioni effettuate sono per definizione richieste di dati che la vostra banca conosce già benissimo.
Le esche gettate in pasto ai risparmiatori posso essere in particolare le email di phishing: i phishers creano email quasi identiche alle email istituzionali di siti, anche molto noti, per indurre gli utenti a cadere nella trappola.
Valutate l’attendibilità di una email seguendo con attenzione queste regole:
- analizzate l’indirizzo email del mittente perché non sia sospetto, diffidate cioè di email con mittenti molto lunghi, con caratteri insoliti o che non abbiano, nel caso provengano dalla banca, il nome stesso della banca nell’indirizzo;
- valutate la presenza di errori nel testo del messaggio poiché spesso i phishers modificano i messaggi inviati dalle aziende per inserire nuovi testi e il link di aggancio al sito fraudolento. Di frequente i phishers operano fuori dall’Italia e in questi messaggi possono esserci errori di grammatica, traduzione o formattazione e la presenza anche di un piccolo errore deve insospettirvi;
- ponete attenzione a link di pagine esterne nelle comunicazioni istituzionali poiché la banca non inserisce mai link a pagine o applicazioni esterne in cui sia richiesto l’inserimento di dati sensibili o credenziali d’accesso;
- esaminate con attenzione che la ragione sociale della banca sia riportata in modo corretto, potete sempre verificare la ragione sociale corretta sul sito della banca stessa.
Ulteriori tecniche di frode sono lo smishing (combinazione delle parole sms e phishing) e il vishing (combinazione delle parole voice e phishing): sono forme particolari di phishing che si basano sull’utilizzo del telefono (via voce o via sms). Tipicamente viene richiesto tramite sms o Whatsapp di comunicare le proprie credenziali di accesso ai servizi online/mobile banking.
I phishers invitano a chiamare un numero telefonico oppure effettuano una chiamata preregistrata con la quale viene chiesta immissione e conferma dei codici di sicurezza.
Come si possono evitare phishing, smishing e vishing?
Accertatevi con cura del mittente della comunicazione cioè verificate l’attendibilità del mittente di email, sms o messaggi WhatsApp: non rispondete mai a messaggi su cui avete dubbi se non siete certi della provenienza, non cliccate sui link e non aprite allegati, e cancellate le comunicazioni sospette.
Non rilasciate mai informazioni al telefono e non comunicate mai a nessuno i vostri codici di sicurezza o altre informazioni riservate, solo eventualmente dopo aver verificato l’identità del vostro interlocutore.
Digitate sempre l’Url del sito della vostra banca direttamente nel browser.
Un ulteriore pericolo per la sicurezza e integrità di dati bancari è costituito dal malware: con il termine malware si intende un software maligno (virus/worm) che può essere installato a insaputa del proprietario sui dispositivi utilizzati per accedere al sito della banca.
Attraverso tali software eventuali malintenzionati possono compromettere la sicurezza delle informazioni e rendere instabili e insicuri i dispositivi.
Occorre dunque tenere sempre aggiornati il sistema operativo, i programmi antivirus e altri software o app presenti sui vostri dispositivi ed evitare assolutamente di installare app di dubbia provenienza o disponibili su store non ufficiali.
Quali possono essere allora le buone regole per comportamenti virtuosi?
Controllate spesso la vostra situazione e verificate di frequente i movimenti del vostro conto corrente e delle vostre carte di pagamento, ormai è possibile farlo ogni volta che volete online o dall’app.
Proteggete i vostri dispositivi aggiornando il vostro programma antivirus e il sistema operativo, non lasciate incustoditi i dispositivi portatili, tablet e cellulare e se possibile non memorizzate le vostre password sul browser, password che è assolutamente utile aggiornare con grande frequenza.
Conservate con cura i codici di accesso alla vostra banca come conservereste le chiavi di casa vostra, non consegnateli a nessuno e soprattutto non date mai seguito a email o telefonate che richiedano di inserire o comunicare informazioni personali come i codici di sicurezza o dati delle carte di credito.
Per potersi difendere in maniera adeguata dalle insidie delle truffe sul web e poterle riconoscere in anticipo bisogna innanzitutto essere consapevoli dei meccanismi con cui esse operano e la prevenzione è la migliore arma per difendersi dalle frodi, di qualunque tipologia.
E sono i comportamenti ad avere il ruolo determinante: prendete il tempo necessario per i controlli appropriati prima di rispondere a qualsiasi comunicazione e sappiate che la vostra banca non vi chiederà mai di comunicare, inserire o confermare dati personali, password o numeri di carta di credito via email, sms, telefono o sui social.
Se avete una minima esitazione su ciò che vi viene chiesto, qualunque sia la modalità, voglio citare, a conclusione, J.K. Rowling da Harry Potter e la camera dei segreti che suggeriva “nel dubbio, vai in biblioteca”.
Ecco, nel dubbio andiamo in banca.