Consegnereste mai le chiavi di casa vostra a un ladro? Ovviamente no!
Eppure, ogni giorno, migliaia di ignari cittadini servono su un piatto d'argento le proprie credenziali bancarie o i propri dati personali ai truffatori digitali.
A spiegarci perché ciò avviene, e come possiamo difenderci, è Enzo Boso,
Responsabile Ufficio Sicurezza Informatica e B.C. della CR Valsugana e Tesino
Signor Boso, quali sono i rischi che non è possibile controllare con la tecnologia?
«Nel campo della sicurezza informatica è noto da tempo come i rischi non siano purtroppo connessi alla sola tecnologia, ma invadano anche il campo del cosiddetto “fattore umano”, vale a dire ciò che gli utenti “fanno” utilizzando i propri dispositivi. Ed è altrettanto noto che i truffatori abbiano iniziato a sfruttare sempre più spesso le debolezze delle persone, per raggirarle. Negli ultimi anni abbiamo assistito a una rivoluzione tecnologica che ci offre strumenti molto potenti e facili da usare, con cui fare cose prima impensabili. Purtroppo in rete non troviamo solo positività, ma anche soggetti e organizzazioni criminali che cercano i modi più svariati per appropriarsi dei nostri dati e spesso pure del nostro denaro. E talvolta ci riescono perché spesso, inconsapevolmente, mettiamo a disposizione di sconosciuti e malitenzionati cose che nella vita reale mai ci sogneremmo di rendere pubbliche, come il documento d’identità e altri dati sensibili, password e codici personali. Anche il mancato aggiornamento dei software e degli antivirus corrisponde a lasciare una porta aperta alla mercé di chiunque passi. Cosa che nella realtà non ci verrebbe mai in mente di fare, mentre in rete sottovalutiamo il pericolo. Pertanto le armi più efficaci per difendersi sono una conoscenza di base di questa tecnologia che guidi gli utenti ad utilizzare in modo sicuro e consapevole questi strumenti».
Voi avete ideato una campagna di sensibilizzazione sui temi di sicurezza in ambito cyber...
«Sì, e come immagine abbiamo scelto due pezzi di puzzle che si incastrano, con lo slogan "La sicurezza informatica è un gioco di squadra". Perché la sicurezza informatica è frutto della complementarità e dell’unione tra i presidi di sicurezza tecnologici di Inbank e l’uso prudente e consapevole di Inbank da parte dell’utente. Questa nuova campagna è diffusa tramite TV, radio, social, web e stampa. Sul sito www.inavigati.it è possibile anche seguire una web serie dedicata alle possibili truffe e trovare materiale informativo, interviste e video di approfondimento».
Inbank come tutela i clienti dalle frodi digitali?
«Con i più avanzati sistemi di protezione:
• Cifratura per le pagine web: tutela gli utenti di Inbank inibendo la possibilità di leggere o alterare i dati in transito tra il dispositivo del cliente e i sistemi bancari.
• Autenticazione a più fattori: protegge l’accesso a Inbank richiedendo, oltre a username e password, un codice di conferma ricevuto tramite Inbank notify o SMS.
• Sistema di notifiche automatiche di operazioni ad alto rischio (modifica delle anagrafiche e disposizioni effettuate) molto efficace a protezione dalle frodi digitali. L’utente riceve una notifica via e-mail, via SMS o tramite Inbank notify, con una sintesi dell’attività in atto sul suo conto corrente o sulle sue carte di pagamento, avendo quindi la possibilità di intervenire con velocità qualora si trattasse di operazioni e/o di modifiche non disposte direttamente, ma frutto di frodi.
• Sistema di fraud management: rileva comportamenti sospetti e blocca in automatico le transazioni anomale».
Quali sono le frodi più comuni?
«La maggior parte delle frodi è riconducibile al phishing, che sfrutta la buona fede dell’utente per indurlo a rivelare ai truffatori le proprie credenziali di accesso e/o le proprie informazioni personali. Sfruttando il “fattore umano” i truffatori fanno leva sulle emozioni degli utenti e sull’urgenza, per non lasciare all’utente il tempo di riflettere. I canali utilizzati in questo tipo di truffe sono in genere e-mail, sms e chiamate, anche in combinazione tra loro».
Ci può fare un esempio pratico?
«Un truffatore invia un sms identico (come intestazione e numero) a quelli ufficiali inviati dalla Banca, in cui presenta all’utente un finto problema di sicurezza o di blocco del conto corrente. Per risolvere il problema, chiede all’utente di aggiornare i dati dell’Internet banking tramite un link di accesso, che indirizza verso una pagina contraffatta, con un’interfaccia praticamente identica a quella della Banca. Il link, quindi, è fasullo, progettato solamente per raccogliere i dati dell’utente in vista della truffa.
Una volta che l’utente fornisce i dati richiesti, il truffatore lo contatta telefonicamente fingendosi un operatore bancario (spesso simulando il numero dell'assistenza o filiale) e lo invita a seguirlo in una serie di passaggi. Sfruttando il “fattore umano", l’agitazione dell’utente e il suo stato di confusione e preoccupazione, il truffatore chiede al telefono i codici di conferma personali che l’utente riceve tramite sms o Inbank notify, raggirando quindi tutti i presidi di sicurezza informatica previsti. In poco tempo, e con una semplice telefonata in cui “credeva” di essere assistito da un dipendente della propria Banca, l’utente ha quindi consegnato le proprie credenziali e codici di conferma segreti direttamente nelle mani del truffatore, che da quel momento è autonomo nell’operare sul suo conto, spesso riuscendo a disattivare la maggior parte delle notifiche automatiche e quindi agendo in perfetta tranquillità e segretezza, concretizzando la truffa».
Come si possono ridurre al minimo i rischi di frode digitale?
«Il principale strumento per difendersi è l'informazione. Tutti debbono ricordare di:
• Non fornire mai credenziali, PIN o codici di conferma, nemmeno a chi si dichiara essere operatore o centro assistenza della Banca. Bisogna sempre diffidare da qualsiasi richiesta atipica e, in caso di dubbio, contattare subito la propria filiale di fiducia.
• Non cliccare mai su link arrivati via e-mail, SMS, chat o social. Le comunicazioni della Banca non contengono link a pagine o applicazioni esterne in cui sia richiesto l'inserimento di informazioni riservate.
• Controllare sempre la validità dei certificati web mediante la presenza dello scudo o del lucchetto sul browser, che deve essere sempre presente quando si è connessi ai servizi della propria Banca.
• Proteggere sempre i dispositivi e utilizzare siti e store ufficiali aggiornando spesso i programmi e i dispositivi di sicurezza sovente già integrati in computer e dispositivi (antivirus, antispam e firewall), per garantire la protezione dei dati, evitando la trasmissione di malware. Usare inoltre, ove possibile, il secondo fattore di autenticazione anche sulla propria e-mail o siti utilizzati».
SICUREZZA: ALCUNE SEMPLICI REGOLE PER OPERARE ONLINE
• Usa password diverse e sufficientemente lunghe, con caratteri
alfanumerici e caratteri speciali.
• Non riutilizzare le password per servizi differenti, il riutilizzo le
rende particolarmente vulnerabili.
• Non condividere i codici di accesso con nessuno. Sono strettamente
confidenziali e la Banca o l’assistenza non ti chiederà mai di
condividerli né per email né per telefono.
• Accedi a Internet da un tuo dispositivo, evita reti pubbliche e/o aperte.
• Installa un antivirus e mantienilo costantemente aggiornato.
• Limita la diffusione delle proprie informazioni personali online.
• Verifica l’attendibilità del mittente prima di aprire link e allegati.
• Leggi con attenzione le comunicazioni che ti vengono inviate,
comprese le notifiche sui pagamenti disposti.
• In caso di telefonate “sospette”, verifica online il numero di telefono
o confrontalo con i contatti ufficiali della tua banca. In ogni caso,
non fidarti se ti vengono chiesti dati bancari o altri dati riservati.
• Se pensi di essere vittima di una truffa o di aver condiviso i tuoi
dati bancari o delle carte di pagamento, contatta immediatamente
la tua banca.
