Stiamo vivendo in un ecosistema digitale in cui la fiducia s’instaura con una manciata di
secondi ma che allo stesso tempo viene tradita con un semplice clic.
La nuova tipologia di criminale a cui stiamo assistendo non indossa più il classico abito,
non porta passamontagna, non lascia impronte, né tantomeno forza serrature.
Ma entra grazie al nostro aiuto, al nostro consenso inconsapevole, perché siamo noi stessi
che, ingenuamente, gli apriamo la porta.
Comincia tutto con una classica notifica sullo smartphone, con un messaggio
apparentemente innocuo su Whatsapp, o un link inviato per e-mail da parte di un contatto a noi noto. Nessuna tipo di richiesta di ingenti somme di denaro, ne tantomeno minacce esplicite, ma una semplice domanda.
Negli ultimi mesi la truffa che circola in Italia è quella nota con il nome di “truffa della ballerina”, le cui segnalazioni fatte, da diversi utenti, alla Polizia Postale sono ormai a centinaia. Certo già il nome suona quasi romantico o innocuo, eppure cela un meccanismo sofisticato di manipolazione psicologica.
Ed è un esempio esplicativo di come i cybercriminali di oggi, non puntino più all’utilizzo di
tecnologie sofisticate per attuare un crimine, ma utilizzano le vulnerabilità psicologiche
degli utenti e la fiducia riposta in quelle che sono le loro relazioni digitali.
COME FUNZIONA LA TRUFFA:
Inizia tutto con un messaggio inviato tramite l’app di WhatsApp, ricevuto da un contatto già presente all’interno della rubrica o da un numero a noi noto, e segue un testo breve ma
chiaro, come:
“ Ciao puoi votare Sara (o qualunque altro nome)?
E’ la figlia di una mia amica/nipote (o altro)..
Sta partecipando a un concorso di danza e con il tuo voto può vincere una borsa di studio
per un anno di corsi gratuiti.
Non costa niente, basta un solo clic. “
In allegato e’ poi presente la foto di una ragazza ed un link che riporta ad una pagina apparentemente reale all’interno della quale ci chiede di inserire il nostro numero di telefono, e successivamente un codice ricevuto tramite un SMS.
Ed è proprio dietro quel innocuo codice che si cela il tranello, con esso stiamo dando
l’autorizzazione ad avere il pieno accesso al nostro WhatsApp ad un altro dispositivo.
Una volta ottenuto l’accesso, il nostro account viene sottratto e viene utilizzato per propagare la stessa truffa ai contatti presenti su quel numero, nonché amici e familiari.
Si tratta del cosiddetto smishing, una variante del phishing che usa messaggi di testo o
chat (in questo caso WhatsApp) per rubare informazioni e dati sensibili.
Qui il vero bersaglio non è il nostro conto corrente, ma la nostra identità digitale.
Per questo risulta fondamentale non imparare ad usare meglio la tecnologia, ma a riconoscere meglio i meccanismi della nostra mente.
Le truffe e le frodi digitali infatti sfruttano dei bias cognitivi e delle dinamiche emotive che
fanno parte della nostra esperienza quotidiana.
Parte tutto da un messaggio che arriva da un numero a noi noto, ciò porta
automaticamente il nostro cervello ad attivare uno stato di sicurezza, perché la fonte da
cui ci arriva e’ conosciuta quindi è affidabile.
Di conseguenza, tendiamo ad abbassare le difese cognitive, portandoci ad essere più vulnerabili. Anche il cosiddetto effetto di buona causa, come nel caso in questione, aiuta; una ragazza che cerca di vincere qualcosa per lo studio ad esempio, tocca facilmente le corde emotive profondamente positive, il che porta facilmente a trasformare un semplice messaggio in un azione che sembra un favore del tutto innocuo.
Perché in quel momento non stiamo valutando un rischio ma stiamo aiutando qualcuno
che conosciamo.
Nelle chat private infatti siamo abituati ad aprire link, foto, visualizzare video e a
rispondere molto spesso in modo rapido, e a non mettere in discussione ogni richiesta che ci viene fatta.
La stessa urgenza implicita gioca un ruolo fondamentale, infatti le espressioni come:
“basta un solo clic” o “senza costi aggiuntivi” stimolano il cervello ad agire in modo
impulsivo e rapido.
Questo schema psicologico è un’estensione di un fenomeno più ampio: le cosiddette tecniche di social engineering, ovvero l’arte di manipolare le persone, invece che “bucare” i classici sistemi informatici.
Di fronte a ciò, diventa fondamentale assumere tecniche difensive, di seguito vengono
riportate alcune tips da tenere sempre a mente:
1. Non aprire mai link sospetti, anche se provengono da contatti o amici.
2. Quando possibile, verifica sempre tramite una chiamata vocale o tramite un’altra app
3. Attiva l’autenticazione a due fattori, quando possibile.
4. Diffida sempre di richieste, soprattutto emotive e che spingono al clic immediato.
5. Segnala sempre alla Polizia Postale ogni episodio sospetto!
Perché ad oggi l’unico firewall veramente funzionante non è quello presente nei nostri
dispositivi elettronici, ma è avere consapevolezza, per cui prima del tuo prossimo clic
domandati se è davvero affidabile quel link e diffida anche se è il tuo migliore amico ad
inviartelo!
