Phishing, vishing, smishing

Phishing

Attraverso il phishing, i cibercriminali tentano di convincere le loro vittime a fornire loro password e altri dati personali.

Il phishing viene usato dai truffatori per tentare di accedere ai dati confidenziali di ignari utenti di Internet. Si può trattare ad esempio di dati di accesso a indirizzi di posta elettronica, account di offerenti di aste online o di dati delle carte di credito. I truffatori sfruttano la buona fede e la disponibilità delle loro vittime inviando loro e-mail nelle quali l’indirizzo del mittente è falsificato. L’e-mail annuncia per esempio alla vittima che le informazioni sul suo account e i dati di accesso (ad es. nome utente e password) non sono più sicuri e devono essere modificati avvalendosi del link integrato nell’e-mail. Il link non indirizza però alla pagina originale dell’offerente (ad es. della banca), bensì ad un’identica pagina Web allestita dal truffatore.

Misure concrete

Non appena vi accorgete di aver inserito la password su un sito di phishing, modificatela immediatamente su tutti i servizi in cui la utilizzate.
Nel caso in cui abbiate fornito i dati della carta di credito, contattate immediatamente l’emittente per farla bloccare.
Se si tratta di una password di accesso a una casella di posta elettronica, reimpostate anche tutte le password dei provider di servizi web associati a questo account.

Misure preventive

Attivate, se possibile, un’autenticazione a due fattori. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga infiltrato.
Nessuna banca e nessun emittente di carte di credito vi chiederà mai di modificare una password o di verificare i dati della carta di credito via e-mail.
Non inserite mai dati personali come password o dati della carta di credito su un sito Internet aperto tramite un link contenuto in un’e-mail o un SMS.
Ricordatevi che i mittenti delle e-mail possono essere falsificati facilmente.
Siate scettici se ricevete e-mail formulate in modo da risvegliare la vostra curiosità o che richiedono da voi un’azione minacciandovi con eventuali conseguenze (perdita di denaro, denuncia penale o procedura giudiziaria, blocco del conto o della carta, opportunità sfumata, sfortuna).

Conseguenze e pericoli

Con i dati sottratti, ad esempio, possono essere effettuati pagamenti con la carta di credito o formulate offerte in un’asta online.
Grazie ai dati d’accesso dell’e-mail, il truffatore ha un accesso completo alla casella di posta elettronica. Può scaricare tutti i dati e inviare truffe via e-mail a tutti i contatti della vittima nascondendosi dietro la sua identità.
Se il truffatore ha accesso alla vostra casella di posta elettronica, può entrare in tutti i servizi in cui utilizzate il vostro indirizzo e-mail come login e che permettono di reimpostare la password.

Ulteriori informazioni

Ulteriori informazioni sono disponibili sul nostro sito web:
Il mio account è stato violato: e adesso?
Proteggete i vostri account

Vishing

Un altro modo per ottenere dati sensibili è il cosiddetto «vishing» (dall’unione di «voice» e «phishing»). Nel vishing le vittime vengono indotte verbalmente, di solito per telefono, a compiere azioni che ritengono essere nel loro interesse.

I tentativi di vishing sono spesso difficili da individuare. Chi chiama può, ad esempio, falsificare a piacimento il numero di telefono visualizzato («spoofing»). Ciò rende difficile identificare l’interlocutore se, ad esempio, il numero è conosciuto o attendibile. Le vittime spesso si rendono conto che la persona all’altro capo del filo è un truffatore solo dopo aver rivelato i propri dati di accesso. Tuttavia, ci sono alcuni segnali utili per riconoscere le potenziali truffe:

in molti casi, i chiamanti si presentano come esperti o professionisti nel loro campo, fingendosi tecnici informatici, bancari, agenti di polizia o addirittura vittime;
la vittima è messa sotto pressione;
vengono chieste informazioni confidenziali per telefono.

Misure concrete

Interrompete immediatamente le telefonate sospette.
Non fornite mai per telefono informazioni sensibili come dati della carta di credito o password.
Non aprite nessun sito web e non installate nessun programma nemmeno se il vostro interlocutore è insistente.
Non aprite nessun allegato o link contenuto in e-mail ricevute da chi chiama (né prima, né durante e nemmeno dopo la telefonata).
Non date mai l’accesso al vostro computer da remoto

Misure preventive

Ricordate che il numero visualizzato può essere facilmente falsificato.
Siate scettici se vi viene chiesto al telefono di divulgare informazioni confidenziali o di fare qualcosa.
Nessuna banca o emittente di carte di credito vi chiederà mai di modificare la password o di verificare i dati della carta di credito per telefono.

Conseguenze e pericoli

Con i dati sottratti possono ad esempio essere effettuati pagamenti con la carta di credito o piazzate offerte in un’asta online.
Se gli aggressori ottengono dati di accesso o informazioni relative a conti, possono prendere il controllo di tutti i servizi che utilizzano queste credenziali e hanno una funzione per resettare la password.

Ulteriori informazioni

Ulteriori spiegazioni sulla manipolazione dei numeri di telefono (o «spoofing») sono disponibili sul sito della Prevenzione Svizzera della Criminalità:
Spoofing: quando il «117» appare sul display del telefono

Smishing

I dati possono essere rubati anche per SMS. Lo smishing è una forma di phishing (dall’unione di «SMS» e «phishing») nel quale vengono utilizzati SMS o messaggi di testo phishing convincenti per indurre le potenziali vittime a cliccare su un link o a inviare informazioni personali al truffatore.

Solitamente questi messaggi sembrano provenire da mittenti affidabili, come rivenditori conosciuti o aziende di logistica. I messaggi sono ad esempio spacciati per notifiche concernenti la consegna di un pacco. Il link presente nel messaggio, però, reindirizza l’utente verso un sito web creato appositamente dai truffatori, dove alla vittima viene chiesto di inserire dati personali o della carta di credito.

Misure concrete

Ignorate i messaggi concernenti la consegna di pacchi in cui cercano di convincervi a pagare una commissione.
In caso di dubbi e se state aspettando un pacco, informatevi presso il corriere.
Utilizzate unicamente l’app ufficiale del corriere.
Se non siete sicuri del mittente di un SMS, non cliccate su nessun link e non rispondete al messaggio.
Anche se richiesto, non scaricate alcuna app.

Misure preventive

Nessuna banca o emittente di carte di credito vi chiederà mai di modificare la password o di verificare i dati della carta di credito per SMS.
Non rispondete a chiamate provenienti da un numero sconosciuto.
Non installate mai software offerti al di fuori degli app store ufficiali dei sistemi operativi.

Conseguenze e pericoli

Scaricando un’app dannosa rischiate che i dati personali (di autenticazione) vengano sottratti o, addirittura, che il dispositivo venga bloccato.
I dati di pagamento possono essere utilizzati in modo improprio, ad esempio se vi viene chiesto di inserire il vostro ID Apple in un sito fasullo per scaricare urgentemente un’app o se il link porta a una pagina di pagamento falsa.

Ulteriori informazioni

Ulteriori spiegazioni sulla smishing sono disponibili sul sito della Prevenzione Svizzera della Criminalità:
Smishing: un messaggino che causa danni a lungo termine