Tra le innumerevoli tipologie di truffe online, il “Phishing” occupa senz’altro uno dei primi posti, per
frequenza e capacità lesiva, anche in considerazione dell’uso di avanzate tecniche di “ingegneria sociale”,
attraverso le quali la persona offesa viene indotta a fornire informazioni personali, dati sensibili e codici di
accesso o a cliccare su link fraudolenti.
Uno dei casi più ricorrenti coinvolge gli utilizzatori dei servizi di home banking, con un modus operandi
che si sviluppa, in genere, attraverso due distinti passaggi:
· l’iniziale creazione di una o più pagine web identiche al sito di un determinato istituto bancario e
quindi capaci di trarre facilmente in inganno gli utenti;
· l’invio massivo di e-mail, utilizzando liste di indirizzi di posta elettronica precedentemente acquisite
con vari metodi, spesso illeciti, con le quali, sostituendosi all’istituto bancario, viene chiesto di
effettuare l’accesso al proprio servizio di home banking per verificare i dati personali o con altre
scuse in apparenza plausibili (compresa, ad esempio, la prospettazione di operazioni rischiose e
sospette che è necessario bloccare per la sicurezza dell’utente). All’interno dell’e-mail è di solito
presente un link al sito del falso istituto bancario, che, in realtà, rimanderà allo spazio web utilizzato
dal phisher.

Quando l’utente, cliccando sul predetto link, inserirà i dati di accesso, questi verranno inviati al
phisher che sarà in grado, in breve tempo, di accedere al conto ed effettuare le operazioni
necessarie per sottrarre il denaro presente.
Oggi esistono anche virus, capaci di inviare ai malviventi le credenziali di accesso ai servizi di home
banking, la cui variante più conosciuta è denominata “Zeus”. Il virus, contenuto in genere all’interno di un allegato ad e-mail, si installa automaticamente nel dispositivo della vittima, una volta che l’allegato viene aperto e rimane “silente” fino a quando non verrà fatto accesso ai servizi di home banking.


Molta attenzione deve essere prestata anche ad e-mail apparentemente provenienti da soggetti istituzionali, come l’INPS, le Forze dell’Ordine, l’Agenzia delle Entrate o la Banca d’Italia, con cui viene richiesto, adducendo innumerevoli e diversificati pretesti, la compilazione di “form” con inserimento di dati personali o anche il pagamento di ipotetiche multe per violazioni mai commesse dagli utenti.
Inoltre, accade spesso che e-mail ed SMS siano inviati da presunti corrieri che rappresentano
l’impossibilità di consegnare un pacco (con varie scuse, come un indirizzo non valido), chiedendo all’utente di cliccare su un link, che come sempre si rivelerà malevolo.


Il “Phishing”, del resto, si è progressivamente evoluto nello “Smishing” (parola che deriva dall’unione
della sigla “SMS”, ossia messaggio di testo inviato tramite cellulare e “phishing”) e nel “Vishing” (ossia,
“voice” e “phishing”, tecnica che consiste nel contattare la potenziale vittima tramite una chiamata
telefonica nella quale un finto operatore di banca, attraverso raggiri ed argomentazioni capziose, la
persuade a fornire i codici dispositivi del proprio rapporto finanziario).

Il nuovo sistema di raggiro delle vittime, che mira sempre all’acquisizione illecita di codici dispositivi e dati riservati, si sviluppa inizialmente mediante l’invio di falsi SMS di servizi bancari o di altro genere, originati da utenze telefoniche identiche a quelle dello stesso istituto di credito o del fornitore di un determinato servizio.

I messaggi in questione, usando utenze analoghe a quelle già presenti nel dispositivo della vittima, non vengono riconosciuti dal software dello smartphone e quindi vengono automaticamente collocati in coda ad altri messaggi autentici in precedenza ricevuti. Ciò induce le ignare vittime, convinte della veridicità delle richieste, a rilasciare i dati di accesso e di autenticazione dell’home banking o altri codici e dati riservati, cliccando sul link malevolo che produrrà gli effetti già in precedenza descritti.
In molti casi, avendo perfezionato le tecniche di aggressione ai danni della vittima, i malviventi sono in
grado di simulare un malfunzionamento della pagina, che non permette la prosecuzione della procedura di accesso ai servizi di home banking, avvisando l’utente che sarà a breve contattato da un operatore per la risoluzione dei problemi.
Effettivamente, dopo pochi minuti, la vittima riceve una chiamata in apparenza proveniente dal “numero
verde” in uso alla banca, nel corso della quale il falso operatore, prospettando presunte criticità tecniche o
l’urgenza di bloccare movimenti sospetti in uscita a tutela del “cliente”, riesce a farsi consegnare le “chiavi”
di accesso al conto o i cosiddetti codici OTP, dispositivi delle operazioni, utilizzandoli per scopi fraudolenti,
quali bonifici e pagamenti.
La Polizia Postale, al riguardo, consiglia:
· gli Istituti di credito o le Società che emettono carte di credito non chiedono mai la conferma di
dati personali tramite e-mail, SMS o telefonate. Bisogna sempre diffidare delle e-mail e degli
SMS che, tramite un link in essi contenuti, rimandano ad un sito web su cui confermare i propri
dati;
· nel caso si riceva un’e-mail, un SMS o una telefonata, presumibilmente da parte della banca di cui
si è clienti, con cui vengono richiesti dati personali riservati, occorrerà recarsi personalmente presso
il proprio istituto di credito o chiamare il numero della propria banca, mai il numero indicato nella
e-mail o nell’SMS;
· se l´e-mail o l’SMS di richiesta informazione sembrano autentici, è sempre bene diffidare del link
con essi fornito e verificare, collegandosi al vero sito della banca, digitando direttamente l’indirizzo
nel browser, mai utilizzando il predetto link (che rimanderebbe fatalmente alla pagina “clone”);
· verificare sempre che nei siti web in cui è richiesto di immettere dati (account, password, numero
di carta di credito, altri dati personali), nella barra in cui compare l’indirizzo sia presente, prima
dell’indirizzo, la sigla di sicurezza “https” o l’immagine del lucchetto chiuso;
· modificare periodicamente le credenziali di accesso ai servizi on-line, evitando di usare la stessa
password per più siti o per servizi diversi;
· ricordarsi di aggiornare il sistema operativo quando richiesto;
· installare sul proprio dispositivo un buon antivirus ed un filtro anti-spam.