Sicurezza informatica, partiamo da noi: come riconoscere e combattere le truffe online


La psicologia supporta i professionisti della cybersecurity per comprendere come la nostra parte emotiva e quella più razionale rispondono alle azioni di Phishing. Come evitare i pericoli del web? Con l’informazione, partendo da noi.

In questo articolo scopriremo insieme come funzionano le truffe online e come difenderci dai pericoli del web. Troverai anche una bella iniziativa gratuita per approfondire queste tematiche.

Stare al passo con le novità ci permette di rimanere sempre consapevoli delle innovazioni ma anche di mantenere il controllo su rischi e pericoli che derivano dall’utilizzo della tecnologia.

Il periodo che stiamo vivendo ci ha portato (e spinto) ad utilizzare sempre più strumenti tecnologici per lavorare, comunicare… e anche per gestire piccole attività quotidiane come la spesa e gli spostamenti. Vista la forte necessità di aumentare e migliorare l’educazione digitale di tutti, grandi e piccoli, molte aziende hanno messo a disposizione gratuitamente corsi e webinar a riguardo.

Una tra queste realtà è CISCO, che proprio il 13 maggio ha iniziato la sua super maratona digitale sui temi della security e dell’IoT. Abbiamo tanti strumenti a nostra disposizione per imparare, sfruttiamoli al meglio!

Inziamo il nostro viaggio nel mondo della cyber-security.

Scopriamo insieme cos’è il Phishing e come funziona il nostro cervello davanti ad una truffa online per imparare a riconoscerla e, quindi, a non cadere vittime dei pericoli del web.

Una truffa online molto comune: il Phishing

A tutti sarà capitato almeno una volta di ricevere una email strana o un messaggio in cui veniva chiesto di dare o confermare i nostri dati, di cliccare velocemente su un link per ricevere un incredibile premio o di rispondere per accettare l’eredità di un lontano zio che nemmeno conosciamo.

Hai ricevuto anche tu messaggi simili? Se sì, sei stato vittima di un tentativo di phishing. Spero tu non abbia cliccato né risposto, ecco perché.

Possiamo definire il phishing come una forma di adescamento: il cyber-malintenzionato inganna psicologicamente l’utente, sfruttando le sue paure, e gli sottrae informazioni preziose, come le credenziali bancarie o i documenti d’identità che poi possono essere utilizzati per compiere una serie di azioni illegali, senza che l’interessato ne venga a conoscenza. (cybersecurity360.it)

Le azioni più frequenti richieste dai phisher sono aggiornare i dati di un servizio che spesso utilizziamo (è successo anche con Netflix nel 2017), inviare via mail i dati del nostro conto bancario per ricevere ingenti somme di denaro o aiutare un parente in difficoltà. Di solito i messaggi vengono inviati massivamente, imitando nell’aspetto e nel contenuto quelli legittimi di fornitori di servizi.

Le mani dietro la truffa: il Social Engineer

L’ingegneria sociale (social engineering), nel campo della sicurezza informatica, è lo studio del comportamento di una persona al fine di carpire informazioni utili: ecco la tecnica sottesa alle cyber-truffe di phishing.

Il social engineering rappresenta un insieme di tecniche utilizzate dai cybercriminali per attirare gli ignari utenti ad inviare loro i propri dati riservati, infettare i loro computer tramite malware o aprire collegamenti a siti infetti. Inoltre, gli hacker approfittano della mancanza di conoscenza di un utente; grazie alla velocità della tecnologia, molti consumatori non si rendono conto del valore incondizionato dei dati personali e non sanno come proteggere al meglio queste informazioni (kaspersky.it).

Prima di capire come individuare una truffa, scopriamo insieme perché è così facile, per tutti, cadere nelle trappole del cybercrime.

La psicologia ci aiuta a comprendere l’anello più debole della Sicurezza Informatica

Di chi si tratta? Dell’utente, delle persone. Siamo proprio noi “l’anello debole” più debole della catena informatica.

Nel mondo reale, e quindi anche sul web, ci muoviamo esplorando e reagendo attraverso due sistemi (così li ha immaginati Kahneman, psicologo e premio nobel per l’Economia nel 2002):

  • Sistema 1: un modo di pensare rapido, automatico, più impulsivo, inconscio, che funziona per associazioni immediate… e quindi emotivo.
  • Sistema 2: il ragionamento più lento, analitico, indeciso, che richiede uno sforzo… quindi razionale.

Per prendere decisioni e capire come comportarci ci sono poi 3 fattori su cui ci basiamo, particolarmente influenti nel caso delle truffe online e che un malintenzionato può sfruttare per rendere il messaggio credibile alla vittima.

Queste backdoor psicologighe sono:

  • Like: siamo più inclini a fidarci e fare favori alle persone che ci piacciono (il finto mittente che ci scrive da qualche parte del mondo è spesso un parente alla lontana, che si introduce con tutti i convenevoli del caso e ci chiede come stiamo… sembra quasi conoscerci davvero).
  • Reciprocità: l’essere in debito con qualcuno ci crea disagio, per questo tendiamo a fare il possibile per restituire il favore, non importa cosa sia o la differenza di valore.
  • Autorità: tendiamo a credere a prescindere alle autorità e di conseguenza a fare quello che da loro ci viene richiesto (pensiamo alle email truffa che imitano quelle delle Poste o dell’Agenzia delle Entrate). Si “traveste” la mail truffa da mail ufficiale e così si incrementa la probabilità di più del doppio che la vittima faccia quello che gli viene chiesto (spesso per costruire una mail di questo tipo ci impiegano anche settimane).

Possiamo immaginare questi elementi come dei punti deboli nella nostra linea di difesa contro i pericoli del web o porte da cui i cyber-criminali possono accedere per raggiungere il loro obiettivo: sottrarci dati sensibili e denaro.

Come riconoscere le truffe online

In linea di massima, l’applicazione del nostro pensiero critico (il sistema 2 di cui parlavamo poco fa) è una prima linea di difesa contro le truffe online.

Detto ciò, ci sono diversi elementi che possiamo controllare per capire se abbiamo davanti un caso di phishing e domande che dobbiamo porci prima di rispondere o cliccare su qualsiasi link che ci arriva online. Vediamoli.

Ecco alcune caratteristiche più visive/tecniche la cui valutazione ci permette di fare già una selezione.

  • L’email è in Spam (segnale debole): se l’email in questione è finita nello spam significa che il tuo servizio di posta elettronica ti sta già avvisando che potrebbe esserci qualcosa di sospetto. Non è un elemento distintivo delle mail di phishing però, molte volte finiscono nello spam anche mail innocue.
  • Mittente (segnale molto forte): spesso si tratta di nomi stranieri e di indirizzi mail molto strani (ad esempio, possiamo trovare una lunga serie di lettere e numeri senza senso… avete mai visto un indirizzo reale così? andyjackchinesqq5@gmail.com).
  • Linguaggio strano e macchinoso (segnale medio): un altro elemento da considerare riguarda il linguaggio. Se leggendo il testo ci sembra poco scorrevole, strano, scorretto è molto probabile che sia stato tradotto con traduttori, senza la revisione di una persona che conosce la lingua.

Queste mail essendo standard (copia-incolla e inviate a più persone), non utilizzeranno mail il tuo vero nome né, se sei una donne, avranno la giusta declinazione al femminile.

Se si tratta di una persona o ente che dovrebbe conoscermi perché mi sta chiedendo dati sensibili, perché non sa il mio nome ma anzi mi chiama “caro amico mio”?

Arriviamo ora alle domande che dovremmo porci leggendo il contenuto del messaggio.

  • Nel messaggio è presento un timer o una scadenza entro cui effettuare un’azione? Se la risposta è sì, il cybercriminale sta cercando di far leva sul nostro Sistema 1, mettendoci una sensazione di fretta e urgenza che non ci permette di ragionare sulla scelta. ATTENZIONE: fermiamoci e ragioniamo con calma, attiviamo il Sistema 2.
  • Sono davvero davanti ad un’autorità, un ente o un servizio di cui posso fidarmi? Nessun servizio richiede di inviare o aggiornare dati sensibili tramite mail. Davanti a questa possibilità diffida subito. Un altro indizio è la mail del mittente, come dicevamo prima.
  • So di cosa sta parlando la mail? Se mi dice che ho vinto un concorso, sono sicuro di aver partecipato? Se si tratta di un parente lontano, l’ho mai conosciuto? Se la mail sembra essere il seguito di una conversazione, ho mai avuto la conversazione in questione? Sembrano domande banali ma i meccanismi che sfruttano queste truffe sono spesso molto subdoli.

Ecco un esempio di come applicare questi consigli per capire se siamo davanti a un tentativo di truffa.

Tutti gli elementi analizzati in questo articolo valgono soprattutto per le truffe di phishing ma, in generale, la logica di razionalità e controllo che abbiamo imparato per difenderci vale per tutti i pericoli del web.

Guarda questa mail che mi è arrivata proprio poco fa. Puoi divertirti, se ti va, ad individuare tutti gli elementi che ci fanno capire la sua natura (sì, ci sono quasi tutti).

come scroprire individuare truffa online cybercrime benessere tecnologico sicurezza privacy
Un esempio di mail truffa

Come denunciare le truffe online?

Per segnalare e denunciare le truffe telematiche c’è un sito della Polizia Postale pensato appositamente per la sicurezza degli utenti del web (contiene anche molto informazioni utili). Lo trovi cliccando qui.

Spero che questa introduzione alla cybersecurity ti sia piaciuta e, soprattutto, che possa esserti utile. Per approfondire l’argomento ed apprendere tutti gli strumenti per vivere la nostra vita digitale al meglio, consiglio vivamente i corsi della Cisco Networking Academy.

Clicca qui per vederli tutti, attualmente sono gratuiti e online. Oltre alla cybersecurity si parla anche di Iot, vita digitale, Big Data & Analytics e Python.

Conoscenza, informazione e pensiero critico sono le prime armi a nostra disposizione. Non dobbiamo essere necessariamente tecnici per controllare la nostra sicurezza, partiamo da qui: nessuno può tutelarci meglio di noi stessi.

Se ti è piaciuto, condividi questo articolo sui social o invialo alle persone a cui tieni, le aiuterai a migliorare la loro vita digitale!

Cosa ne pensi? Commenta su Facebook!

Informazioni su Laura Fasano

Laura Fasano (sui social @tecnolaura), techblogger e content creator. Di formazione psicologica, sui social e sul mio sito benesseretecnologico.it parlo delle ultime novità tecnologiche e di come il mondo digitale sta cambiando la nostra vita. Eventi tech, innovazioni, tool utili ed esperienze immersive sono all'ordine del giorno sul mio profilo Instagram. Collaborando con diversi brand condivido una prospettiva positiva rispetto al mondo digitale e alle possibilità che questo offre per potenziare competenze e benessere.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Un commento su “Sicurezza informatica, partiamo da noi: come riconoscere e combattere le truffe online