Phishing e SIM swapping sono diffuse modalità di furto dei dati. Un danno che oggi è enorme e tocca conti corrente, caselle email e account sui portali di e-commerce.
Siamo sempre più online. Acquisti sui portali di commercio elettronico, social network, applicazioni mobile connesse. Ciò comporta sempre più rischi per i nostri dati, dai conti correnti e le carte fino agli abbonamenti ai servizi di streaming, perché vengono esposti frequentemente all’attacco di un malintenzionato.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
I fenomeni di phishing (l’uso di email fraudolente allo scopo di rubare dati come le credenziali di accesso alla casella di posta elettronica) sono molto diffusi. Sta inoltre prendendo piede un preoccupante sistema, noto come SIM swapping. In breve, il malintenzionato ruba il numero di telefono della vittima. Una manomissione che, di fatto, rende inutile anche l’autenticazione a due fattori se quest’ultima è configurata tramite SMS: anche il codice di verifica sarebbe in mano al ladro di dati.
Per capire meglio il fenomeno del furto di dati e di truffe abbiamo intervistato Paul Heffernan, Chief Information Security Officer di Revolut.
Paul Heffernan, CISO di Revolut
DDAY: Quali sono oggi i principali metodi con i quali i malintenzionati truffano gli utenti?
Heffernan: La tecnica principale continua a essere il phishing, ovvero ingannare gli utenti in modo che condividano le loro password o i codici PIN con truffatori o scammer. E poiché molte banche hanno implementato l’autenticazione a due fattori, che prevedono che i codici vengano inviati via SMS, anche il SIM swap si è diffuso. Con questa tecnica, i truffatori contattano il provider telefonico dell’utente e lo inducono a trasferire tutte le comunicazioni su di loro, in modo da poter ricevere tali codici.
DDAY: Gli utenti sono realmente consapevoli dei rischi che una scarsa “igiene informatica” può avere per le crederenziali di accesso ai conti correnti online oppure alla casella di posta elettronica?
Heffernan: Dato che una parte integrante della nostra vita è online, molti di noi riconoscono l’importanza della sicurezza informatica quando si parla di dati personali. La continua evoluzione della tecnologia e della sicurezza informatica comporta che non tutti siano ben informati sui rischi a cui si è esposti, per questo è fondamentale adottare delle misure di sicurezza adeguate, come utilizzare password efficaci e mantenere aggiornati i nostri device.
DDAY: I metodi di phishing come sono cambiati negli ultimi anni? Sono aumentati, sono diminuiti o sono rimasti stabili?
Heffernan: Le misure di sicurezza che proteggono i servizi online sono migliorate e si sono rafforzate nel tempo, ciò ha portato i truffatori a ingannare le persone utilizzando il phishing per ottenere le loro password. Le tecniche di phishing sono quindi decisamente aumentate ed è per questo che è importante proteggere i dispositivi con password efficaci e l’autenticazione a due fattori.
DDAY: Quali sono i sistemi di prevenzione che aziende come Revolut stanno attivamente implementando per aumentare la protezione dei loro clienti?
Heffernan: In Revolut lavorano diversi team dedicati ad assicurare un alto livello di protezione agli account dei nostri utenti che lavorano ogni giorno per identificare e implementare le ultime innovazioni volte ad aumentare la sicurezza.
Ad esempio i nostri utenti possono beneficiare di:
– Identificazione tramite impronta digitale
– Funzioni per personalizzare il proprio account e le proprie carte e limitare il rischio di frode, ad esempio la disabilitazione dei pagamenti online, dei prelievi ATM, dei pagamenti contactless e a strisciamento
– Carte virtuali usa e getta – in aggiunta alle carte fisiche – che possono essere utilizzate per i pagamenti online per poi essere distrutte e rimpiazzate da altre con numeri diversi. Ciò rende impossibile utilizzarle più di una volta.
– Il sistema anti-frode Sherlock per identificare ogni attività fraudolenta in tempo reale
– Pagamenti 3D Secure che permettono agli utenti che fanno acquisti online (a discrezione del merchant) di ricevere una notifica dall’app di Revolut per verificare il pagamento
Intermezzo promozionale ... continua la lettura dopo il box:
Nessun sistema di sicurezza è invincibile al 100%, è quindi fondamentale per i nostri utenti e per noi di Revolut rimanere sempre vigili.
DDAY: Cosa avviene esattamente con il SIM swap e cosa può essere fatto per proteggersi da tale furto di SIM?
Heffernan: Il SIM swap si verifica quando un truffatore o scammer prende controllo del numero di telefono di un utente. Si inizia con l’ottenere alcune informazioni personali attraverso le email, gli account social media o anche acquistando alcuni dati sul dark web. Una volta collezionate abbastanza informazioni, il truffatore contatta il provider telefonico dell’utente spacciandosi per lui, chiede che la SIM card attuale venga disattivata e il numero trasferito su un’altra SIM in suo possesso. Il risultato è che tutte le chiamate e i messaggi vengono ricevute dal truffatore e non più dal vero intestatario. Riconoscere il SIm swap prima che sia troppo tardi può essere molto difficile. Lunghi periodi senza segnale telefonico o senza ricevere chiamate o messaggi, potrebbe significare che qualcosa non va. In questo caso, è una buona idea contattare il proprio operatore telefonico.
Alcune raccomandazioni utili sono:
1. Se si smette di ricevere chiamate ed sms senza motivo, contattare immediatamente il proprio operatore telefonico.
2. Mai condividere le password o in codice PIN del conto online con qualcuno. Nemmeno la propria banca potrà mai chiederlo.
3. Mai condividere dati personali come il numero di telefono, la data di nascita, la prima automobile o altro – sui social media come Facebook, poichè grazie a questi dati i truffatori possono spacciarsi facilmente per qualcun’altro.
4. Chiedere alla propria banca di comunicare ogni singola transazione attraverso due canali, ad esempio tramite SMS ed email
5. Utilizzare un indirizzo email diverso per l’account di online banking e per transazioni finanziarie rispetto a quella utilizzata per i social media.
DDAY: Il fenomeno del SIM swap, pur molto pericoloso, è poco noto. Molto meno di phishing e altri sistemi che hanno l’obiettivo di “rubare” dati agli utenti. Perché? È diffuso anche in Italia?
Heffernan: Il SIM swap è meno conosciuto rispetto al phishing ma sta recentemente diventando popolare, anche in Italia, perché molti servizi utilizzano gli SMS per inviare i codici di sicurezza che devono essere utilizzati insieme alle password per accedere agli account più importanti, come quelli di online banking. Per questa ragione molti truffatori sanno che il SIM swap è l’unico modo per avere accesso a questi account. Per proteggersi è possibile chiedere al proprio operatore di attivare una password o un codice PIN che verrà richiesto per effettuare qualsiasi modifica all’account.
DDAY: Con l’entrata in vigore della PSD2, obbligatoria dal 14 settembre, dovrebbero aumentare i servizi fintech legati a conti correnti e ai risparmi delle persone. Il rischio concreto è che le frodi online possano avere più leve da sfruttare? O quanto racchiuso nella PSD2 (come l’autenticazione forte) basta a prevenire una possibile escalation?
Heffernan: La PSD2 porterà un’innovazione necessaria nel settore bancario dando ai consumatori molta più scelta sulla gestione dei propri dati. Ciò implicherà una maggiore competizione nei servizi e una migliore esperienza. Con questa nuova connettivitá anche la sicurezza acquista maggiore importanza e cosí anche altri aspetti: la strong customer authentication (SCA) offrirà maggiore protezione agli account, l’utilizzo delle API standardizzerà la comunicazione tra banche e le banche avranno maggiori responsabilità nell’investigare e rispondere sulle frodi.
Fonte : https://www.dday.it/redazione/32262/truffe-online-phishing-furto-sim-cosa-fare-proteggersi
