Effettuare transazioni bancarie comodamente dal pc, disporre pagamenti online rapidi e tracciabili, accedere al proprio conto corrente tramite i portali di home banking e fare acquisti dai tantissimi e-commerce esistenti in rete, è ormai divenuta una pratica diffusissima. L’arrivo della pandemia, inoltre, ha acuito ancora di più questa tendenza che, se pur pratica e conveniente, purtroppo cela alcune insidie.
È bene sapere, infatti, che i pagamenti online potrebbero mettere in pericolo i dati degli utenti più ingenui. Ma quali sono i reali pericoli dei pagamenti online? Gli acquisti via web sono davvero sicuri? Si sente sempre più spesso parlare di smishing e phishing, ma cosa si nasconde dietro queste nuove forme di truffe online? Cerchiamo di far luce su questi aspetti per non farci trovare impreparati difronte ad eventuali cyber attacchi che potrebbero mettere in pericolo la nostra privacy.
Attacco Phishing, truffe online
In che modo gli hacker rubano i dati personali sul web?
La possibilità di acquistare un qualsiasi oggetto direttamente dal nostro pc, tablet o smartphone è una comodità indiscussa che consente di risparmiare tempo e spesso enormi fatiche. Con l’arrivo della pandemia Covid-19, i pagamenti online sono stati un aiuto non indifferente per i molti costretti a casa dai lunghi periodi di lockdown.
Purtroppo, l’aumento spropositato delle transazioni via web ha subito destato l’interesse dei criminali informatici che, approfittando dell’attenzione rivolta ai cambiamenti delle informative privacy di Whatsapp (tra la fine del 2021 e gli inizi del 2021), sono riusciti ad avviare una dannosissima operazione di Phishing, facendo uso dell’immagine di questa diffusissima app di messaggistica.
In pratica, tramite l’invio di una mail che avvisava della possibilità di perdere messaggi, foto e ogni genere di documento, agli utenti di questa app venivano richiesti dati, password, numeri di conto corrente e tantissime altre informazioni utili per evitare la chiusura dell’account e consentire il rinnovo del servizio di messaggistica. Ma Whatsapp non è pagamento e questo forse non era chiaro ai malcapitati. Si è trattato di una truffa di phishing a tutti gli effetti che ha consentito agli spietati esperti di cybercrime di ottenere un numero enorme di dati altrimenti inaccessibili.
Truffe digitali della stessa portata erano state in passato attivate a danno di numerose banche e correntisti. Gli ingenui sventurati venivano ingannati da mail fittizie che richiedevano, a nome della banca, numerosi dati e informazioni in virtù del cambiamento delle nuove informative sulla privacy bancaria. In realtà, si trattava di trappole ben orchestrate, utili ai criminali della rete per estorcere, in maniera del tutto illecita, dati privati. Altre frodi informatiche sono state realizzate utilizzando falsi annunci relativi ipotetici blocchi degli account Paypal. In questo caso, gli hacker sono riusciti ad estorcere dati e anche importanti somme di denaro.
Ma la furbizia degli hacker non conosce limiti. Frodi informatiche molto simili al phishing sono le cosiddette truffe smishing, attacchi criminali alla sicurezza dei dati attivati attraverso l’uso di SMS.
Attacco Smishing INPS: un caso di frode informatica
Una variante al Phishing è lo Smishing. Una strategia criminale che sfrutta lo stesso ingannevole meccanismo di estorsione dati ma attraverso l’uso di SMS.
Tra i casi di Smishing più noti ricordiamo l’invio dei falsi sms INPS ad opera di astuti criminali della rete.
Il funzionamento della frode informatica era semplicissimo. Gli SMS incriminati invitavano gli utenti a cliccare un link attraverso il quale poter modificare la domanda bonus 600 euro. In realtà, il link reindirizzava su una pagina dalla quale scaricare un’applicazione “ingannevole”. Un malware bancario che in breve tempo riuscì a sottrarre password e codici di accesso ai portali di home banking.
Come proteggersi da frodi Smishing?
La regola d’oro per evitare di essere vittime di frodi informatiche e boicottare eventuali attacchi di virus o l’istallazione involontaria di programmi trojan horse sui propri dispositivi, è sicuramente quella di non accedere, cliccare o aprire nessun genere di link o mail ricevuta da un istituto di credito o ente accreditato che chieda informazioni e dati personali.
Nessuna banca o istituto commerciale chiederà mai ai propri clienti informazioni personali attraverso sms, chat, mail o telefono!
A tal proposito, proprio per tutelare gli utenti da eventuali attacchi phishing, il Garante della privacy ha esposto un prontuario con importanti raccomandazioni da seguire con la massima attenzione.
Per proteggere la propria privacy online è bene:
- verificare la presenza di errori grammaticali, di formattazione o di traduzione in mail o sms sospetti (le comunicazioni ufficiali degli istituti non presentano mai errori di questo genere);
- verificare che il mittente e l’indirizzo di posta elettronica corrispondano a quelli utilizzati e inseriti nella documentazione ufficiale (potrebbero essere molto simili ma non uguali e per questo ingannevoli);
- installare e tenere sempre aggiornato un programma antivirus sui propri dispositivi;
- non memorizzare mai dati e codici di accesso nei browser usati durante la navigazione su internet;
- impostare password diversificate e complesse per ogni tipologia di servizio;
- usare carte prepagate o sistemi di pagamento differenti dalla propria carta di credito o da sistemi che richiedano l’impiego dei dati del conto bancario per effettuare pagamenti online;
- verificare periodicamente i movimenti del proprio conto bancario;
- utilizzare sistemi di alert automatico che segnalino ogni operazione effettuata;
- comunicare con il proprio istituto di credito solamente attraverso canali ufficiali, conosciuti e affidabili.
Se affidarsi ai sofisticati sistemi antifrode e tutela privacy della rete è sicuramente una buona norma, aguzzare la vista e l’ingegno rimane sempre il primo e miglior modo per difendersi dai crescenti e ingannevoli tentativi di furto messi in opera dei criminali informatici.
Direttive PSD2: disposizioni per i prestatori di servizi pagamento online a difesa dei clienti
In Europa, la legislazione sui pagamenti online in tutela della privacy dei clienti, per proteggere i dati personali degli utenti che effettuano acquisti e operazioni bancarie in rete, ha predisposto una serie di operazioni obbligatorie per i creditori e l’applicazione dell’autentificazione forte del cliente ad opera dei fornitori di servizi virtuali.
Nello specifico, i prestatori di servizi di pagamento online dovranno attenersi alla direttiva PSD2, la quale prevede l’autentificazione forte a due fattori del cliente per mezzo di elementi che colleghino l’operazione di pagamento ad un importo specifico e ad un beneficiario.
Esistono differenti modalità per assicurare l’autentificazione forte dei clienti:
– modalità conservativa nel caso in cui, per finalizzare l’acquisto online, si richieda di utilizzare un codice ricevuto tramite sms ed un codice statico (PIN o password);
– modalità innovativa nel caso in cui sia necessario scaricare l’app dell’istituto bancario.
Al momento del pagamento, infatti, l’acquirente riceverà una notifica dalla banca e solo successivamente, connettendosi all’app per autorizzare il pagamento tramite password o riconoscimento biometrico, potrà concludere l’operazione.
Rischi riconoscimento biometrico: privacy in pericolo
È importante fare un piccolo approfondimento riguardo il riconoscimento biometrico.
Questa procedura di accreditamento utenti, ammettendo la raccolta di dati integrati durante le procedure di autenticazione o identificazione online, aumenta il rischio di diffondere maggiori informazioni, con gravi conseguenze per la tutela della privacy dei clienti. Un trattamento dei dati biometrici non compliant può, con molta probabilità, rendere vulnerabile la dignità dei soggetti colpiti esponendoli al rischio data breach.
La compromissione dei dati biometrici, una volta archiviati, non consente alcuna modifica o cancellazione successiva. La loro archiviazione in un numero illimitato di dispositivi rende ancora più probabile la possibilità di subire un attacco informatico con conseguenziale furto di dati biometrici.
Se i pagamenti online rappresentano un’indiscussa comodità e consentono di effettuare numerose operazioni in pochissimo tempo e da ogni parte del mondo tramite una semplice connessione e un dispositivo collegato alla rete, è pur vero che le transazioni via web minano la sicurezza dei nostri dati e la espongono a maggiori possibilità di attacchi di cybercrime del sistema informatico e telematico. Ma si può stare tranquilli, non bisogna assolutamente vivere con ansia questa eventualità. I pagamenti online sono utili ed efficienti, una vera conquista per il progresso tecnologico se, come per ogni cosa, utilizzati con le giuste attenzioni.
