In Remitly lavoriamo 24 ore su 24 per superare le aspettative dei clienti in termini di sicurezza e servizio. Ecco alcuni suggerimenti utili per tenere al sicuro non solo il tuo account Remitly, ma anche tutti gli altri, nel periodo delle festività che possono essere il momento propizio per le attività fraudolente, dato che i truffatori approfittano del flusso di acquisti online di questo particolare momento. Continua a leggere per scoprire come proteggere le tue informazioni personali e finanziarie.
Cos’è il phishing?
Tattica comune utilizzata dai truffatori sul web, il phishing si verifica quando qualcuno tenta di spacciarsi per una società legittima o come rappresentante di un’azienda, per ottenere informazioni personali come nomi utente, password e dettagli del conto bancario, il tutto per scopi dannosi o fraudolenti.
Nel complesso, gli attacchi di phishing rappresentano la tipologia di crimine informatico più comune. Infatti, solo nel 2022, Microsoft ha rilevato più di 40 milioni di campagne di phishing. Sempre nello stesso anno, circa l’85% delle aziende di tutto il mondo è stata interessata dai tentativi di attacchi di phishing.
Come funzionano le truffe di phishing?
Con gli attacchi di phishing non è più necessario che i truffatori entrino nei computer o che i ladri di identità acquistino informazioni. Infatti, i criminali fingono semplicemente di essere aziende e organizzazioni legittime e ingannano le loro vittime, inducendole a comunicare volontariamente le loro informazioni di identificazione personale.
In sostanza, le truffe di phishing non solo inducono gli utenti a fornire informazioni personali o finanziarie ma, spacciandosi per aziende legittime, convincono anche le vittime ignare a condividere dati sensibili.
Gli attacchi di phishing possono assumere molte forme, comprese quelle di seguito elencate.
Email di phishing
Le email di phishing sono una delle forme più comuni di truffe di questo genere. Con queste campagne di phishing, i truffatori inviano migliaia di messaggi email fingendo di essere organizzazioni e aziende affidabili.
Le comuni email di phishing inducono le probabili vittime a condividere dati sensibili in due modi:
Email di phishing con link dannosi
Le email di phishing possono includere un link dannoso a un sito web, che, cliccandolo, ti indirizza a un sito falso che assomiglia a uno reale.
L’idea è quella di convincere la vittima a inserire le proprie credenziali di accesso e, una volta che i truffatori avranno questi dati, potranno accedere alle sue informazioni riservate..
Email di phishing con allegati
Con l’allegato ad un’email di phishing i truffatori comunicano alla vittima di aver incluso al messaggio un documento importante. Spesso si tratta di una fattura falsa.
Quando la vittima scarica l’allegato, installa inconsapevolmente un malware sul proprio computer. Una volta installato questo software dannoso, i truffatori possono accedere a una vasta gamma di informazioni sensibili archiviate su un computer o su un dispositivo mobile.
Phishing tramite SMS
Noto anche come SMIshing e phishing tramite messaggi di testo, il nome di questo tipo di truffa è utilizzato per indicare gli attacchi di phishing che hanno origine attraverso messaggi di testo SMS inviati a un cellulare o a un altro dispositivo mobile.
I messaggi SMIshing utilizzano le stesse tecniche delle email di phishing, fornendo link a siti web falsi, oppure allegati contenenti malware.
Post e messaggi sui social
I social hanno offerto ai truffatori un altro sistema per sferrare gli attacchi di phishing, dato che questi impostori potrebbero creare profili social falsi e cercare di attirare follower. Una volta fatto, prima pubblicano post che indirizzano a siti web compromessi, poi cercano di indurre le vittime a condividere le credenziali di accesso.
Un’altra tattica è lasciare nel post di un social un commento contenente un collegamento a un sito web falso.
In alcuni casi, gli attacchi di phishing possono anche avere origine attraverso la messaggistica privata dei social, con i truffatori che utilizzano le stesse tattiche adottate quando inviano alle vittime messaggi di testo ed email.
Spear phishing
Quelli di spear phishing sono attacchi di phishing mirati. Infatti, a differenza delle campagne di phishing generali che si rivolgono a un vasto gruppo di persone, lo spear phishing coinvolge un particolare individuo come, ad esempio, qualcuno che ha accesso come amministratore ai sistemi informatici di un’azienda, oppure che funge da responsabile decisionale di un’azienda.
L’obiettivo finale degli attacchi di spear phishing è lo stesso di quelli perpetrati tramite email e messaggi di testo, ma, nel primo caso, il contenuto dei messaggi tende ad essere molto più personalizzato.
Quando pianificano un attacco di spear phishing, i truffatori impiegano tempo a cercare la vittima. Infatti, per rendere i loro tentativi quanto più convincenti possibile, spesso si spacciano per venditori o aziende con cui la vittima collabora regolarmente.
Phishing telefonico
Il phishing telefonico, o il vishing, si verifica quando i truffatori prendono di mira le vittime tramite telefonate, anziché attraverso email o messaggi di testo fraudolenti. Quando la vittima risponde, il truffatore le dice di rappresentare un’azienda o un’organizzazione e le chiede telefonicamente i dati personali. Per rendere le chiamate più convincenti, i truffatori possono persino utilizzare la tecnologia che trasforma il proprio numero di telefono in un ID chiamante dall’aspetto legittimo.
Quali sono le truffe di phishing più comuni?
I truffatori possono tentare di indurti con l’inganno a visitare pagine web fasulle, a divulgare i tuoi dati personali o a scaricare in vario modo dei malware. Si riportano di seguito alcune delle tipologie più comuni di attacchi di phishing.
Truffe sui contatti personali
Con questo schema, il truffatore invia alla sua vittima un’email o un messaggio di phishing spacciandosi per un amico, un familiare o un contatto commerciale. Spesso utilizzata per tentativi di spear phishing, questa truffa si basa sulla fiducia tra due persone, al fine di indurre la vittima a scaricare allegati o a visitare un sito web falso.
Truffe nella consegna dei pacchi
Il phishing nella consegna dei pacchi avviene quando i truffatori si spacciano per il servizio postale o per un corriere. In questo caso, inviano email e messaggi di testo falsi, asserendo che c’è un problema con una spedizione. Questi messaggi potrebbero chiedere alle vittime non solo informazioni di pagamento per coprire le spese di spedizione, ma anche altri dettagli personali, oppure l’indirizzo o il numero di previdenza sociale per poterne così verificare l’identità.
Furto d’identità di un’agenzia governativa
I truffatori possono anche sfruttare la paura che la gente nutre nei confronti di alcune agenzie governative. Ad esempio, potrebbero inviare email di phishing spacciandosi per l’IRS, chiedendo così alla vittima di effettuare un pagamento online per evitare controlli o sanzioni fiscali.
Un altro approccio è quello di fingersi appartenenti alle forze dell’ordine e chiedere il numero della carta di credito o il numero del conto bancario per pagare una multa. Se la vittima si rifiuta, i truffatori creano in lei un senso di urgenza, minacciando che il malcapitato o una persona a lui cara rischiano di finire in prigione.
Truffe finanziarie e aziendali
Un altro approccio al phishing consiste nel fingere di essere un’azienda rispettabile. In questo modo, i truffatori possono inviare email di phishing dichiarando di essere istituti finanziari come banche o società che emettono carte di credito.
In questa email potrebbero comunicare che c’è un problema con l’account come, ad esempio, una transazione sospetta. A questo punto, l’email di phishing istruisce la vittima ad accedere al proprio account per fornire o verificare le informazioni.
Utilizzando tattiche simili, i truffatori possono anche spacciarsi per società di servizi pubblici e negozi di e-commerce
Truffe legate alla beneficenza
Quella del phishing legato alla beneficenza è una truffa particolarmente insidiosa, poiché prende di mira chi crede di offrire il proprio contributo per una causa meritevole. Con queste email e messaggi di testo di phishing, i truffatori fingono di essere un’organizzazione non profit e chiedono informazioni finanziarie alle vittime con il pretesto di elaborare delle donazioni.
Quali sono le informazioni che gli impostori cercano con le truffe di phishing?
Quando attivano uno schema di phishing, i truffatori possono avere in mente vari obiettivi, ma sono tutti alla ricerca di informazioni sensibili, tra cui:
- Numeri di carta di credito, date di scadenza e codici di sicurezza
- Routing del conto bancario e numeri di conto
- Numeri di previdenza sociale
- Patente di guida e numeri di identificazione personale
- Informazioni di accesso quali nomi utente e password
- Altre informazioni identificative come indirizzi e numeri di telefono
Cosa può accadere se sei vittima di un attacco di phishing?
Le conseguenze di un attacco di phishing riuscito possono essere gravi. Esploriamo alcuni dei maggiori rischi.
Furto d’identità
Fornendo dati sensibili ai truffatori, puoi diventare vittima del furto di identità, in conseguenza del quale qualcun altro può utilizzare le tue informazioni personali e finanziarie per aprire conti di carte di credito, contrarre prestiti, accumulare debiti sanitari e molto altro ancora.
Transazioni fraudolente
Se un truffatore ottiene le tue credenziali di accesso o le tue informazioni di pagamento, spesso può effettuare transazioni. Infatti, potrebbe fare acquisti, fare addebiti sulla tua carta di debito o di credito, oppure trasferire o bonificare denaro in suo favore.
Attacchi ransomware
Con gli attacchi ransomware i truffatori prendono il controllo di computer o dispositivi mobili. Quando ciò accade, la vittima non può utilizzare il proprio dispositivo e i suoi dati sensibili diventano vulnerabili. Di solito, i truffatori dicono di rinunciare a tale controllo solo in cambio di denaro.
Come individuare i tentativi di phishing
Sebbene non esista un modo per prevenire il phishing, ricorda che, individuandone email e messaggi di testo, hai il controllo sulla possibilità di rimanerne vittima. Alcuni segni rivelatori di email e messaggi sospetti sono:
- Refusi ed errori grammaticali
- Loghi che non corrispondono al sito ufficiale
- Collegamenti a siti web costituiti da una serie di lettere e numeri casuali
- Informazioni errate come, ad esempio, il tuo nome non corrispondente a quello effettivamente presente sul tuo account
- Indirizzi email e numeri di telefono non corrispondenti a quelli dell’organizzazione
Le migliori strategie di prevenzione del phishing
Oltre a prestare attenzione alle email e agli SMS sospetti, esistono altre strategie che puoi adottare per prevenire il phishing, pertanto segui questi suggerimenti.
Evita di cliccare su link sospetti
Ogni volta che non sei sicuro di un’email, evita di cliccare sui suoi link o di scaricarne gli allegati. Ricevere semplicemente un’email o un messaggio di testo di phishing non è sufficiente per compromettere le tue informazioni sensibili, quindi il semplice fatto di non cliccare può tenerti al sicuro.
Contatta direttamente il servizio clienti
Se hai dubbi sull’autenticità di un’email, contatta direttamente il presunto mittente. Per trovare le reali informazioni di contatto dell’organizzazione, fai una ricerca su Internet, oppure guarda una fattura o un estratto conto. Poi, chiama per confermare il messaggio che hai ricevuto.
Aggiorna regolarmente il tuo software antivirus
Il software antivirus può aiutarti a difendere il tuo computer dal phishing e da altri attacchi, pertanto assicurati di averne uno installato sul tuo sistema operativo e aggiornalo con la frequenza consigliata. Anche mantenere aggiornati i sistemi operativi del cellulare e del computer può aiutare.
Usa i tuoi filtri antispam
I filtri antispam nella tua posta elettronica possono reindirizzare le email sospette dalla tua inbox, rendendoti così meno propenso a cliccarle. Quando un messaggio sospetto riesce a superare i filtri, contrassegnalo come spam per aiutare il tuo servizio client di posta elettronica a capire cosa cercare. In questo modo puoi ridurre il numero di email di phishing che superano i filtri antispam.
Cambia regolarmente le tue password
La compromissione di un sito web o di un’email aziendale può esporre il tuo nome utente e la tua password, rendendoti più vulnerabile ai truffatori. Cambiare regolarmente le tue password e sceglierne di univoche per tutti i siti web che utilizzi può aiutarti a proteggere le tue informazioni personali.
Utilizza l’autenticazione a più fattori
L’autenticazione a più fattori è quando devi fare più di un’operazione per accedere a un account online o tramite dispositivo mobile. Ad esempio, dopo aver inserito nome utente e password, potresti dover aggiungere un codice che ricevi via email o tramite messaggio di testo.
Attiva l’autenticazione a più fattori ogni volta che l’hai disponibile: in questo modo, crei un’ulteriore barriera tra le tue informazioni e i truffatori di phishing.
Forma i tuoi dipendenti
Se possiedi una piccola impresa, insegna ai tuoi dipendenti come individuare email e messaggi di testo sospetti. La formazione continua può aiutarti a proteggere la tua azienda da coloro che cercano di rubare denaro o che tentano di impossessarsi del tuo sistema.
A chi segnalare le truffe di phishing?
Quando ricevi messaggi ed email sospetti, segnalare il problema può portare all’arresto di coloro che cercano di indurre con l’inganno le persone a inviare denaro o a condividere i propri dati personali. Di seguito trovi l’elenco di alcune organizzazioni a cui puoi segnalare i tentativi di phishing.
Agenzie governative
La maggior parte dei Paesi dispone di agenzie che proteggono i consumatori dai crimini informatici e che accettano segnalazioni di phishing e di altri tentativi di truffa via web. Negli Stati Uniti, questa agenzia è la Federal Trade Commission, o FTC, a cui puoi presentare una denuncia di frode cliccando qui.
Gruppi industriali
Anche alcuni gruppi industriali interessati alle protezioni anti-phishing accettano le segnalazioni. L’esempio più noto è l’Anti-Phishing Working Group a cui è semplice presentare una segnalazione inoltrando l’email sospetta ricevuta a reportphishing@apwg.org.
Imprese impersonificate
Sebbene non sia obbligatorio, puoi comunicare a istituti finanziari, enti di beneficenza e aziende quando i truffatori inviano email o SMS fingendosi loro rappresentanti. Puoi anche avvisare familiari, amici e contatti di lavoro se qualcuno si sta spacciando per loro.
Servizi email ed Internet
Anche il tuo indirizzo email e/o il tuo provider di servizi Internet (ISP) potrebbero accettare le segnalazioni di phishing. Segui i link suggeriti per avere indicazioni su come segnalare le email fasulle tramite Gmail e Microsoft Outlook.
Forze dell’ordine locali
Se perdi denaro a seguito di phishing, puoi presentare una denuncia presso le forze dell’ordine locali, rivolgendoti alla stazione di polizia più vicina.
Come faccio a proteggere il mio conto Remitly da un attacco di phishing?
Per la tua sicurezza, Remitly non ti chiederà mai di modificare i dettagli del tuo conto bancario. Eventuali variazioni alle coordinate bancarie possono essere eseguite solo da te (dai nostri clienti). Puoi condividere in sicurezza documenti o informazioni sull’account personale accedendo all’app di Remitly o sul sito web, seguendo questi semplici passaggi:
- Accedi al tuo account Remitly.
- Una volta effettuato l’accesso, riceverai un avviso in rosso nella parte superiore dello schermo.
- Clicca sull’avviso per ricevere istruzioni e seguile per caricare i tuoi documenti in modo sicuro.
Per ulteriori informazioni su come mantenere il tuo account sicuro e protetto, clicca qui e visita la pagina “Sicurezza” sul nostro sito web.