Purtroppo oggi non sono solo i creduloni a cadere vittima di truffe e attacchi di phishing: può accadere letteralmente a chiunque. I criminali informatici impiegano anni ad affinare le proprie tattiche affidandosi a sofisticate manipolazioni psicologiche spesso difficili da scoprire. Nel mondo della sicurezza informatica, questo tipo di giochi mentali ha un nome: social engineering.
In questo articolo analizzeremo i trucchi psicologici utilizzati dai truffatori per ingannare i propri bersagli, i segnali d’allarme a cui prestare attenzione e cosa fare se ci si accorge di essere stati presi di mira.
Le emozioni che i truffatori usano come arma
Le tecniche di social engineering funzionano perché innescano le nostre emozioni più profonde. Una vittima in ansia, terrorizzata o presa dalla foga del momento tenderà a prendere decisioni in una frazione di secondo senza riflettere sulle conseguenze. Ed è proprio su questo che puntano gli hacker.
Ecco perché, in un momento di tensione in cui si parla o si invia un sms con qualcuno e ci si vede avanzare delle richieste, è necessario fermarsi un secondo e chiedersi: “Cosa sto provando esattamente in questo momento? E cosa provavo solo un momento fa? Questa persona sta cercando di sfruttare il mio stato d’animo?”
Il più delle volte i truffatori cercano di depredare queste emozioni:
- Paura e ansia
- Entusiasmo
- Vergogna e senso di colpa
- Sorpresa e shock
Primo: verificare con chi hai davvero a che fare
Prima ancora di vagliare segnali di allarme, fai mente locale su un aspetto basilare: con chi stai parlando realmente? Se, ad esempio, stai chattando con qualcuno che afferma di essere un “rappresentante di banca”, la soluzione migliore è cercare online il numero di telefono e l’indirizzo e-mail della banca. Richiama quel numero o scrivi a un indirizzo che sai essere legittimo al 100%. È sempre meglio prevenire.
Presta particolare attenzione se qualcuno ti contatta tramite app di messaggistica o social media. Di norma, le grandi aziende non operano in questo modo.
Segnali inequivocabili che hai a che fare con truffatori
Ti subissano con una raffica di emozioni
Supponi di ricevere un’e-mail da un sedicente team di assistenza di un servizio di streaming. Il messaggio afferma che qualcuno ha appena tentato di accedere al tuo account da un altro Paese: ed è subito panico. Ma poi ti tranquillizzano all’istante: “Non preoccuparti, abbiamo bloccato il tentativo di accesso sospetto appena in tempo. Il tuo account è protetto”.
Ma la cosa non finisce qui. Il paragrafo successivo ti riporta in modalità panico: “Purtroppo, durante il controllo di sicurezza, abbiamo scoperto che le informazioni di pagamento potrebbero essere state compromesse”. Dopo di questo ti lanciano un’ancora di salvezza: “Siamo pronti ad aiutarti a risolvere il problema; devi solo fare clic su questo collegamento per verificare la tua identità”.
In pratica è come essere presi e strattonati per l’intero minuto trascorso a leggere questo “aggiornamento urgente”. L’obiettivo di queste montagne russe emotive è sbilanciarti e farti reagire senza pensare in modo critico. E nel momento in cui il truffatore ti propone una presunta soluzione salvifica, il tuo giudizio svanisce completamente.
Sanno un po’ troppo di te
I truffatori spesso ti bombardano deliberatamente con le tue informazioni personali per dare l’impressione di sapere di cosa stanno parlando e di avere accesso legittimo ai tuoi dati sensibili.
Il fatto che un interlocutore sembri conoscere dettagli sulla tua identità, finanze o contratti, non esclude che sia un artista della truffa. Grazie alle infinite violazioni dei dati, quasi tutti noi vantiamo un dossier personale digitale piuttosto imponente. È incredibilmente facile per un hacker scoprire esattamente quanto è stato speso per le consegne di generi alimentari l’anno scorso, chi è il tuo operatore di telefonia mobile o quale indirizzo e-mail è associato al tuo conto bancario.
Cercano di spaventarti, a volte con minacce ed estorsioni
Il modo più semplice per sbilanciare qualcuno è, a conti fatti, incutergli paura o aumentarne l’ansia. Quando offerte troppo belle per essere vere non fanno l’effetto sperato, i criminali informatici si spostano su tattiche allarmistiche: “Il tuo account è stato compromesso”, “Sarai accusato di evasione fiscale a meno di non consegnare la seedphrase del portafoglio di criptovaluta”, “Perderai l’accesso ai nostri servizi se non ci chiami subito” o “Sei stato inserito nel registro dei molestatori sessuali. Contattaci per risolvere il problema, altrimenti sporgeremo denuncia e divulgheremo le tue informazioni ai media”. E l’elenco potrebbe continuare.
A volte i messaggi appaiono totalmente privi di emozioni e imitano perfettamente una vera e-mail di assistenza. Ma se il tono è eccessivamente drammatico e ti senti messo alle strette, le probabilità di avere a che fare con un truffatore sono prossime al 99,9%. E se ti esortano a un’azione come trasferire denaro a un altro conto o consegnare dati sensibili, sotto la minaccia di danni fisici, gogna pubblica o accuse penali, arrotondiamo pure questo valore al 100%.
Per saperne di più su come operano gli estorsori, consulta il nostro post Estorsione tramite e-mail: in che modo i truffatori utilizzano i ricatti.
Una “persona in alto loco” si mette in contatto con te
Per alimentare l’ansia, i truffatori spesso firmano i propri messaggi con nomi di alto grado. Se ti succede, fai un bel respiro e chiediti se sei davvero sicuro che il vicedirettore dell’Agenzia delle Entrate o il questore possano chiamarti o scriverti in privato. Funzionari e investigatori di alto livello di solito hanno a che vedere con pesci molto più grossi. E se vieni accusato di qualche crimine in un messaggio firmato, ad esempio, dal procuratore capo della tua provincia, avrai la certezza di essere davanti a un bluff.
Ricevi un’offerta troppo bella per essere vera
Non credere ad atti di generosità o doni sbucati dal nulla. Ecco una breve panoramica di come potrebbe andare:
- Ricevi un pacco inaspettato con un codice QR stampato sulla confezione. Ti si chiede di scansionarlo, presumibilmente per scoprire chi lo ha inviato, richiedere un coupon gratuito dal venditore o confermare la consegna in modo da non incorrere in spese di spedizione. Non è difficile indovinare che il codice QR rimandi invece a un sito di phishing. Da lì, per i truffatori è tutta discesa: possono indurti con l’inganno a cedere i dati della carta di credito, convincerti a scaricare un’app che si rivelerà essere un malware o farti rivelare un codice di verifica per l’app della banca.
- “Salve, Sto chiamando dal centro di consegna. Hai un pacco (o un mazzo di fiori) in arrivo. Potresti fornirmi il codice di verifica riportato nell’SMS che ti abbiamo appena inviato in modo da garantirti il regalo?” Beh, a chi non piace ricevere regali inattesi. Ma nella foga del momento è facile abbassare la guardia e offrire accidentalmente un regalo ai truffatori, come il codice di accesso al proprio account di posta.
- Alla faccia della fortuna! Celebrità di ogni genere annunciano omaggi NFT gratuiti che promettono di fruttare una fortuna. Per richiedere la nuova criptovaluta, apri una mini-app, digiti i dettagli e… puf! Il tuo account Telegram è sparito. E a ripensarci, quei profili delle celebrità sembravano un po’ sospetti…
Ti mettono fretta cercando di isolarti dal mondo esterno
”Non riagganciare! Questa è l’ultima possibilità di recuperare l’accesso al tuo account”. “Se non rispondi a questa e-mail entro otto ore, apriremo una causa penale contro di te”. “È necessario recarsi immediatamente in banca per salvare il contante rimanente e depositarlo in un conto sicuro”. Se vengono utilizzate frasi simili per spingerti ad agire immediatamente, fai l’opposto: i truffatori stanno solo cercando di spaventarti e creare un falso senso di urgenza.
Questa è una tattica da manuale. Immagina di ricevere una chiamata da un truffatore che finge di essere un rappresentante di banca o addirittura un funzionario del Ministero del Commercio, il quale sostiene che i tuoi conti bancari sono stati manomessi. Costui ti chiede di firmare un accordo di riservatezza, presumibilmente per aiutarti a recuperare i soldi, e minaccia azioni legali qualora lo dovessi raccontare a qualcun altro, fossero anche i famigliari più stretti. Insisterà sul fatto che la questione è “grave” e richiede un’azione immediata, e che la cooperazione con gli enti statali “deve rimanere strettamente confidenziale”.
Ricorda: rappresentanti aziendali o pubblici ufficiali legittimi non chiederebbero mai di mantenere il segreto a meno che non si tratti di dati riservati del governo o non sia già stato firmato un vero e proprio NDA aziendale. I truffatori agiscono per tagliare deliberatamente le vittime fuori da qualsiasi supporto esterno, dalla propria voce della ragione o da opinioni altrui. E non si limitano a isolarti dalle persone: ti isolano completamente dalle informazioni. Potrebbero intenzionalmente tenerti al telefono o bombardarti di messaggi emotivamente carichi, così da non lasciarti nemmeno un secondo per respirare o cercare qualcosa online.
Quando si è in uno stato di forte ansia, è incredibilmente facile cadere in queste manipolazioni e fare scelte sconsiderate, anche se si pensa di stare risolvendo il problema. Non aver mai paura di chiedere aiuto; ottenere un secondo parere su quello che sta succedendo è sempre una mossa intelligente.
Fanno presa sui sensi di colpa
Immagina una notifica secondo cui il tuo account è stato compromesso ed è necessario contattare l’assistenza. Il sedicente rappresentante dell’assistenza contattato esamina il problema, ma allo stesso tempo tenta di ingenerarti un senso di colpa: “Quando è stata l’ultima volta che hai modificato la password? Parecchio tempo fa? Non hai visto i nostri avvisi urgenti per l’aggiornamento delle credenziali?” o “Guarda, il messaggio di testo dice letteralmente di non condividere il codice con nessuno! Perché mai l’hai fatto?” Questa è una tattica deliberata per generare il senso di colpa, facendoti sentire come se avessi perso il controllo e di necessitare dell’esperienza e dell’aiuto del truffatore.
Ma se anche avessi commesso un errore, non abbatterti. Cadere nella trappola di un truffatore è molto più facile di quanto si pensi: basta una giornata stressante al lavoro e l’arrivo di una chiamata nel momento peggiore in assoluto.
All’improvviso ricevi un avviso che stavi… parlando con i truffatori
I truffatori adorano utilizzare schemi disorientanti suddivisi in più fasi. Ad esempio, potrebbero prima tentare di indurti con l’inganno a condividere il codice di accesso dell’app bancaria con il pretesto di aggiornare le informazioni del conto. Ma poi la chiamata si interrompe improvvisamente o ricevi immediatamente un SMS che ti avverte che stavi parlando con un truffatore, che il tuo account è stato violato e che è necessario contattare immediatamente l’assistenza. A volte, sedicenti “agenti” o “ufficiali delle forze dell’ordine” irrompono persino nella conversazione.
Il problema è che questo “team di sicurezza” fa parte dello stesso gruppo di truffatori che ti ha teso la trappola. Cominceranno a insistere sul fatto che tutti i tuoi soldi stanno per finire in mano ai criminali a meno che tu non li sposti su un “conto sicuro” o affermeranno che qualcuno ha già acceso prestiti con anticipo sullo stipendio a tuo nome.
Non contattare numeri o indirizzi e-mail sconosciuti presenti nei messaggi, anche se promettono di aiutare. Trova il sito Web legittimo dell’azienda o dell’agenzia, cerca i relativi canali di contatto ufficiali e usa solo quelli.
Ricorda: nessun ente statale, e certamente nessuna azienda privata, ti intercetta al telefono per verificare se parli con truffatori.
Cosa fare se si diventa vittima di una truffa
Innanzitutto, non fartene una colpa. Chiunque può essere colto alla sprovvista ed essere ingannato in un momento di vulnerabilità. Cerca di non farti prendere dal panico e ripensa esattamente al tipo di informazioni che hai fornito. I passaggi successivi dipendono interamente da quello:
- Hai condiviso un codice di verifica testuale o la password dell’account → Modifica immediatamente la password del servizio, nonché di qualsiasi altro account che usi la medesima password. Attiva l’autenticazione a due fattori, se non l’hai già fatto.
- Hai fornito i dettagli della carta di credito → Chiama immediatamente la banca e chiedi di bloccare la carta. Se è già stato prelevato o trasferito denaro dal tuo conto, informati su come contestare la transazione.
- Hai fatto clic su un link sospetto o hai scaricato un file da un mittente sconosciuto → Esegui la scansione del dispositivo con un anti-virus affidabile. Cercare di capire se è stato rilevato malware è praticamente impossibile, poiché spesso si nasconde senza mostrare segni evidenti.
Non dare ascolto ai truffatori
Ecco come proteggere account, dati e denaro:
- Prenditi tutto il tempo che serve. Se qualcuno ti spinge ad agire immediatamente (per immettere dati, divulgare un codice o inviare denaro) è molto probabile che si tratti di un criminale informatico. Fai una pausa, richiama l’azienda al numero ufficiale indicato sul relativo sito Web e controlla se ha effettivamente bisogno di comunicare con te.
- Esternalizza le tue paure a Kaspersky Premium. A differenza di un essere umano, la nostra suite di protezione anti-truffa basata su IA e ML è completamente imparziale e individua e-mail di phishing e file dannosi proprio quando una persona potrebbe sentirsi agitata. Ti impedirà di aprire siti Web sospetti, interromperà i tentativi di infettare il dispositivo, neutralizzerà gli eventuali malware rilevati e manterrà al sicuro dati e denaro.
- Attiva l’autenticazione a due fattori per gli account importanti. Con Kaspersky Password Manager è possibile generare codici di accesso monouso che cambiano ogni 30 secondi, rendendoli molto più difficili da intercettare rispetto ai codici inviati tramite e-mail o SMS.
- Attieniti alla regola d’oro: non riutilizzare mai una password. Se usi la stessa password per diversi servizi, un hacker deve solo violare un account per ottenere automaticamente l’accesso a tutti gli altri. Variazioni come “Password123” e “Password1234!” non servono a nulla: piccoli ritocchi del genere sono incredibilmente facili da indovinare. Naturalmente, mandare a mente decine o addirittura centinaia di password diverse è un’impresa sovrumana. È qui che un gestore di password risulta utile archiviando in modo sicuro i dati in un deposito criptato e generando password univoche davvero complesse.
Consulta gli altri nostri post per ulteriori suggerimenti sulla sicurezza:
social engineering
Consigli