La Polizia Postale e delle Comunicazioni è da sempre in prima linea sul fronte della lotta al “Financial Cybercrime”, l’ambito criminale che con l’avvento della new economy, in un mondo sempre più globalizzato, è divenuto più pericoloso e subdolo che mai. Nel 2013, con l’obiettivo di prevenire e contrastare tale fenomeno criminale, la Polizia Postale e delle Comunicazioni ha ideato e realizzato il progetto OF2CEN (Online Fraud Cyber Centre Expert Network): una piattaforma per lo scambio in tempo reale di informazioni su transazioni fraudolente tra i diversi partners aderenti. Proprio grazie a questo strumento, nel 2017 sono state bloccate transazioni per un ammontare di circa 22 milioni di euro e recuperate somme pari a circa 900 mila euro.
Vishing
Gli anziani sono da sempre le vittime più colpite, specie con le chiamate-truffa al telefono. In quest’ultimo periodo, infatti, sono in aumento le denunce da parte di cittadini in relazione ad addebiti non autorizzati sulle proprie carte di credito dovute a dei raggiri telefonici noti alla polizia postale con il termine di “Vishing” (dall’inglese voice-phishing o phishing vocale). A differenza di quelle in rete, la vittima di tali frodi viene contattata telefonicamente da finti operatori bancari o di società emittenti carte di credito, i quali riferendo di presunte “anomalie” nella gestione della carta di credito o del conto corrente, avvisano la persona che, nel suo stesso interesse, è necessario attivare fantomatiche “procedure di sicurezza”. I truffatori richiedono quindi alla vittima di leggere a voce alta il “codice di conferma” che, proprio in quel momento, appare via messaggio sul display del telefono. Tale codice, tuttavia, altro non è che il codice autorizzativo di una transazione che in quel momento i truffatori stanno tentando di effettuare via web ai danni dell’ignara vittima. I cyber-criminali infatti, entrati precedentemente in possesso dei dati della carta di credito (numero di carta, data di scadenza e CVV), necessitano di conoscere tale codice di sicurezza per completare una transazione in corso, e sottrarre così il denaro alla ignara vittima. Questa, credendo in buona fede di aver agito correttamente per mettere in sicurezza il proprio conto o la propria carta di pagamento, si accorge solo successivamente (spesso, al momento della ricezione dell’estratto-conto) che vi sono in realtà movimentazioni in uscita non autorizzate, pari anche a diverse migliaia di euro, per l’acquisto di beni e servizi mai richiesti su piattaforme online. L’unico sistema per difendersi dalle truffe è quello di non rivelare mai a nessuno, via telefono come via social o via email, i nostri dati più sensibili, in primis le nostre password dispositive, i PIN o i nostri codici di accesso comunque denominati. È invece opportuno diffidare sempre di fronte a soggetti che richiedono tali dati, presentandosi come operatori di istituzioni pubbliche, importanti aziende o istituti bancari. Bisogna educare le persone più fragili e suggestionabili (ma anche noi stessi) alla sana abitudine di diffidare e di “procedere a semplici ed attente verifiche”. Come? “Contattando direttamente l’ente coinvolto – banca, poste, azienda – che potrà dare spiegazioni e confermare il sospetto di frode”.
Immuni
In questi giorni in cui si parla moltissimo della nuova applicazione Immuni messa a punto dal Governo per il monitoraggio del Covid-19, l’attività criminale non conosce sosta. Sorprende ancora di più il cosiddetto “social engineering” ovvero la tecnica di hackeraggio che punta sul fattore umano sfruttando la buona fede delle persone. Di recente è stata lanciata una massiva attività di cybercrime con email di phishing contenenti ransomware. Il virus trojan, chiamato FuckUnicom, sfruttando l’occasione del codice Immuni, rilascia un file .exe attraverso un dominio del tutto identico a quello della Federazione Ordine dei Farmacisti Italiani che, una volta eseguito, visualizza la mappa dei contagi ad imitazione di quella ormai celebre della Johns Hopkins University e avvia il processo di cifratura. Successivamente, sul pc delle vittime compare la richiesta di riscatto in Bitcoin e le istruzioni di pagamento. In casi come questo, dove viene richiesto un pagamento per avere indietro i propri dati, la Polizia Postale incoraggia a “non procedere mai ad alcun pagamento, anche perché non è certo che sia restituito il materiale criptato”. Inoltre, per evitare che vadano persi tutti i dati, a scopo precauzionale è bene “tenere sempre aggiornato il sistema operativo del proprio pc; installare un buon antivirus o antimalware; effettuare con scadenza ravvicinata il backup dei dati; fare attenzione alle e-mail che arrivano ‘non attese’, evitando di aprire file allegati o seguire link indicati e cestinare sempre le e-mail sospette”.
L’intervista
Se da un lato il cyber crime è sempre più frequente, dall’altro anche le forze di Polizia sono sempre meglio organizzate e in grado di aiutare il cittadino caduto nella trappola dei cyber criminali. Per meglio conoscere questo fenomeno in continua e rapidissima evoluzione, In Terris ha intervistato il dott. Martino Brunetti, Commissario Capo della Polizia Postale.
Dott. Brunetti, qual é la tipologia di truffa online più frequente?
“E’ il cosiddetto phishing attraverso delle mail contraffatte, che possono essere aperte sia da computer sia da smarthphone, indistintamente”.
Esattamente, cosa è il phishing?
“Il phishing è un tipo di truffa effettuata su internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale”.
Come funziona la truffa tramite phishing?
“I truffatori inviano delle mail simulandosi per delle istituzioni, quali istituti bancari, Forze di Polizia, Poste, enti pubblici vari. In questo modo il cliente ‘pescato’ è invitato a cliccare su dei link e inserire le proprie credenziali, in genere quelle bancarie. Con questo sotterfugio i truffatori ottengono le credenziali dell’utente e possono commettere frodi di carattere pratrimoniale, quale il sottrarre soldi dal conto corrente, e l’identità dell’utente frodato”.
Ci sono vittime più “fragili” di alte, ad esempio gli anziani?
“Sì. Siamo tutti potenziali vittime, questo perché il crimine informatico è per sua natura ‘delocalizzato’, sia dal punto di vista del truffatore che potrebbe operare anche da altre Nazioni, sia dal punto di vista della vittima perché colpisce senza guardare alla tipologia di persona coinvolta (età, nazionalità, lavoro etc) cercando di colpire numericamente più persone possibili. E’ dunque una tipologia di truffa che punta più alla quantità che alla qualità della vittima. Ciò premesso, devo evidenziare che gli anziani sono utenti particolarmente ‘fragili’ sul web perché hanno a volte delle lacune di conoscenza informatica non essendo nati al tempo della rete. Hanno spesso maggior difficoltà a riconoscere se quel sito è vero o è una copia per effettuare una frode, oppure conoscere le mail contenenti dei virus informatici. Proprio per venire incontro alle esigenze particolari, nelle nostre campagne di prevenzione che facciamo regolarmente sul sito della Polizia Postale o sulla pagina Facebook Commissariato di PS Online – Italia cerchiamo di utilizzare un linguaggio semplice in modo che tutti gli utenti, esperti e non, possano comprende i nostri consigli sia per poter fare prevenzione, sia per denunciare le frodi”.
In fatto di frodi informatiche, vale il detto “meglio prevenire che curare”?
“Assolutamente sì, la prevenzione è anzi fondamentale. In merito, la Polizia Postale ha recentemente pubblicato un video dove vengono spiegati alcuni consigli per evitare le truffe più frequenti”.
Nel caso che la frode fosse già avvenuta, è possibile recuperare i soldi rubati dal proprio conto corrente?
