Logo Banca Ifis

Attenzione alla tua sicurezza online

In un contesto digitale in continuo sviluppo, diventa sempre più importante imparare a proteggere i propri dati personali da attacchi informatici. Le principali minacce in cui puoi incorrere, quando utilizzi servizi o applicazioni web sono:

  • I malware: programmi utilizzati per compromettere un sistema informatico;
  • Gli attacchi phishing, smishing, vishing: situazioni in cui il malintenzionato, fingendosi un mittente affidabile, cerca di ottenere le tue informazioni personali, come credenziali di accesso o dati finanziari (ad esempio il numero della carta di credito).

Con alcuni semplici consigli ti aiuteremo a proteggere i tuoi dati bancari sul web.  

Smishing

Lo smishing è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (SMS o chat dei social media). Il suo obiettivo è quello di ingannare la vittima portandola a fornire informazioni personali (es. codici di accesso), tramite un messaggio che può sembrare innocuo, spesso riconducibile ad un ente o interlocutore ritenuto affidabile.

Ecco qualche consiglio su come proteggersi:

  • Non aprire link presenti in SMS provenienti da sconosciuti.
  • Verifica il mittente del messaggio attraverso i motori di ricerca. Se ricevi un messaggio che sembra proveniente da una fonte affidabile (come una banca), contatta direttamente l’ente tramite il numero di telefono ufficiale.
  • Non inviare i tuoi dati personali tramite SMS (codice fiscale, Pin del Bancomat, codice di sicurezza della carta).

Vishing

Chiamato anche “phishing vocale”, il vishing è una modalità di frode il cui scopo è ottenere informazioni sensibili dagli utenti attraverso telefonate.  I truffatori si fingono operatori finanziari, apparentemente affidabili, che attraverso chiamate cercano di ottenere la fiducia della vittima ed estorcerle dati sensibili.

Ecco qualche consiglio su come proteggersi:

  • Verifica l’identità del mittente: assicurati di parlare con una persona affidabile, chiedendogli il suo nome o informazioni sulla società per cui lavora.
  • Tieni sempre controllate le tue transazioni: monitora sempre le tue spese, così da individuare più facilmente accessi non autorizzati o transazioni insolite.
  • Non fornire informazioni personali: non condividere dati sensibili come numeri di conto, PIN, password o informazioni personali durante una chiamata non sollecitata.

Malware

Il Malware è un software malevolo il cui scopo è accedere ad un dispositivo tramite differenti tecniche (siti web dannosi, email di phishing, file infetti) per recuperare le credenziali personali di un utente così poi da poterle rivendere o effettuare pagamenti a carico della vittima. I malware sono difficili da identificare, solo attraverso una buona prevenzione ed un occhio allenato possono essere riconosciuti.

Ecco qualche consiglio su come proteggersi:

  • Effettua sempre i backup, mantieni aggiornati i dati riservati e le immagini, su dischi rigidi o altri dispositivi che non siano collegati alla rete.
  • Applica il modello Zero Trust, un approccio che si basa sulla presenza di diversi step di sicurezza così da poter creare un mini-perimetro in modo tale da rendere più difficile l’ingesso di malware.
  • Rimani sempre aggiornato, molti attacchi da malware derivano da download di software non verificati, queste azioni possono essere evitate grazie a corsi di sensibilizzazione.

SIM Swapping

È un servizio, pensato per finalità lecite, che permette di trasferire il proprio numero di telefono su una nuova SIM card. Può tuttavia essere utilizzato in modo illegale per estorcere agli utenti informazioni personali.

Ecco qualche consiglio su come proteggersi:

  • Configura i tuoi account social in modo che il tuo numero di cellulare ed altre informazioni sensibili non siano visibili pubblicamente.
  • Imposta un PIN di sicurezza alla tua SIM.

Spoofing

Lo Spoofing è una tecnica utilizzata per falsificare la propria identità. Il truffatore manomette dati e protocolli fingendosi un’altra persona con il fine di risultare come mittente di un SMS o un’email apparentemente innocui.

Ecco qualche consiglio su come proteggersi:

  • Proteggi i tuoi dispositivi, utilizza sistemi di sicurezza, come filtri antispam, per la protezione dei tuoi account personali.
  • Esamina cosa ricevi, presta attenzione ai messaggi che ti vengono inviati, verificando il mittente e i link sospetti.
  • Non condividere i tuoi dati in rete.

Money Muling

Il Money Muling è un’attività illecita, dove le vittime vengono ingannate con l’obiettivo di indurle a trasferire e, quindi riciclare, denaro proveniente tendenzialmente da attività illegali. I truffatori fingono spesso di offrire un’occupazione tramite e-mail, social media o annunci online. In questo modo la vittima spesso non è consapevole di commettere un reato trasferendo denaro di terzi.

Ecco qualche consiglio su come proteggersi:

  • Sospetta di offerte di guadagno facile, le truffe spesso si nascondono dietro a proposte troppo allettanti.
  • Non trasferire denaro per conto di altri.
  • Evita di dare seguito a offerte di lavoro sospette, fai sempre una ricerca sull’azienda o la persona che ti offre un impiego.

Ransomware

I Ransomware nel corso degli anni sono diventati un vero e proprio problema per aziende e privati. Gli hacker che li programmano attraverso questi malware criptano i dati, bloccando l’accesso ai file del computer della vittimo, richiedendo poi un riscatto per sbloccarli. Ogni giorno vengono messe in circolo nuove varianti mettendo così a rischio la sicurezza delle informazioni di aziende e privati.

Ecco qualche consiglio su come proteggersi:

  • Effettua backup regolari dei tuoi file, copia i tuoi file su cloud o supporti esterni e conservali in modo sicuro.
  • Aggiorna il tuo software, tieni sempre aggiornato il sistema operativo, i software e le applicazioni di sicurezza, per correggere eventuali vulnerabilità.
  • Antivirus e antimalware, utilizza un buon software antivirus e antimalware, aggiornandolo frequentemente. Tutelati in tempo reale contro le minacce.
  • Controlla i permessi d’accesso, limita i permessi d’accesso ai file e alle cartelle, soprattutto per gli utenti che non hanno bisogno di un accesso completo.

Criptojacking

Il criptojacking è un attacco informatico in cui un hacker sfrutta le capacità di un computer, server o dispositivo senza il consenso di un utente per generare criptovalute (c.d. mining). In pratica il criminale installa un programma che utilizza le risorse di sistema per eseguire queste operazioni in modo illecito e all’insaputa del proprietario del computer.

Ecco qualche consiglio su come proteggersi:

  • Disattiva JavaScirpt (se possibile) nel tuo browser o utilizza modalità che lo limitino per ridurre il rischio di attacco tramite script dannosi.
  • Monitora le risorse di sistema, se noti che il computer rallenta improvvisamente, potrebbe trattarsi di un attacco. Utilizza strumenti di monitoraggio delle risorse.
  • Controlla i permessi del browser, alcuni attacchi di criptojacking possono essere eseguiti tramite pop-up o banner pubblicitari compromessi. Disabilita l’auto-play o le autorizzazioni per i contenuti sospetti.

Attacco DDoS

È un attacco in cui i dispositivi, vengono utilizzati per sovraccaricare un server, una rete o una app rendendoli inaccessibili agli utenti. In pratica il malintenzionato crea un “fiume” di traffico dannoso che travolge il sistema bersaglio, impedendo che funzioni correttamente o che i suoi servizi siano disponibili.

Ecco qualche consiglio su come proteggersi:

  • Utilizza un firewall avanzato, configura un firewall di rete che possa rilevare e bloccare il traffico sospetto. Alcuni firewall sono progettati per identificare modelli di traffico tipici degli attacchi DDoS e sono così in grado così di fermarli prima che raggiungano il server.
  • Monitora il traffico, mantieni un sistema di sorveglianza costante del traffico di rete.
  • Abilita protezioni alle app, assicurati che il software e le app siano aggiornate e configurate correttamente per gestire al meglio eventuali attacchi.

Attacchi AI

Questi attacchi sfruttano modelli d’intelligenza artificiale per creare contenuti dannosi, ingannevoli o persuasivi con l’obiettivo di manipolare un’utente. L’AI generativa, come quella utilizzata per la creazione di testo, immagini, può essere utilizzata per differenti tipologie di attacchi come: Phishing avanzato, Deepfake o generazione automatica di malware.

Ecco qualche consiglio su come proteggersi:

  • Verifica l’autenticità dei contenuti, in caso di video o immagini sospette, utilizza strumenti di verifica come software e piattaforme che permettono di analizzare i contenuti potenzialmente malevoli per rilevare manipolazioni.
  • Autentificazione multifattoriale (MFA), abilita l’autentificazione a più fattori su tutti i tuoi account online, riducendo così il rischio di attacchi tramite AI.
  • Verifica le fonti, utilizza strumenti di fact-cheking come Snopes o PolitiFact, per confermare effettivamente l’affidabilità delle informazioni che stai visualizzando

Typosquatting

È una forma di attacco informatico che sfrutta errori di digitazione comuni nei nomi dei domini web. I malintenzionati registrano domini che somigliano a quelli legittimi, ma con piccole modifiche, come l’inversione di lettere. Il tentativo è far arrivare gli utenti su siti web ingannevoli con l’intento di sottrarre informazioni sensibili o indurli a cadere nel phishing.

Ecco qualche consiglio su come proteggersi:

  • Verifica sempre l’indirizzo web, prima di inserire dati sensibili, assicurati che sia esattamente quello del sito ufficiale. Fai attenzione a errori di battitura e variazioni minori nel dominio.
  • Usa l’autocompletamento del browser, i browser offrono alcuni suggerimenti durante il processo di ricerca, attraverso questa funzionalità la possibilità di commettere errori di battitura si riduce.
  • Verifica il protocollo “https”, assicurati che il sito web che utilizzi sia dotato del protocollo sicuro (rappresentato dalla S finale), non semplicemente http, e che il certificato SSL sia correttamente configurato. Questo aiuta a proteggere la sicurezza e a identificare il sito che stai visualizzando.

Gestisci con attenzione le password

La creazione di una password è una delle attività più comuni svolte nel mondo informatico, ecco alcuni consigli su come aumentarne la sicurezza:

  • Complessità: è importante non essere scontato, non inserire il proprio nome o cognome, data di nascita, oppure nomi di persone strettamente legate a noi, soprattutto se esposte nel mondo social.
  • Caratteri composti: utilizza più di 8 caratteri per la tua password, tra cui lettere (maiuscole e minuscole) e numeri. La casualità dei caratteri inseriti rende la password ancor più forte.
  • Diversificazione: usa password diverse per ogni sito, se utilizzi un’unica password per tutte le attività, il rischio che un malintenzionato scopra le tue credenziali ed abbia accesso a tutti i tuoi profili aumenta considerevolmente. Inoltre, modifica spesso tutte le tue password.
  • Nascondiglio sicuro: assicurati di conservare le tue password in un posto sicuro e di tenerle lontane da occhi indiscreti.
Sito sicuro

Riconosci i siti sicuri

Verifica la presenza di questi elementi all’interno dei link per essere certo che la comunicazione sia sicura:

  • L’esistenza di un protocollo HTTPS: l’indicazione “https://” certifica che stai navigando su un sito sicuro, la presenza della lettera “S” (di “secure”) fa capire che la comunicazione tra i dispostivi è cifrata e, come tale, protetta da intrusioni da parte di occhi indiscreti.
  • Il certificato SSL: un altro elemento da considerare per controllare la sicurezza in una comunicazione è la presenza sul sito in cui stai navigando di un certificato SSL. Puoi controllare in autonomia se il sito sia dotato di un certificato SSL, cliccando sull’icona del lucchetto nella barra degli indirizzi e visualizzare le informazioni relative al certificato.
  • Controlla l’URL: verifica l’indirizzo web del sito e assicurati che sia scritto senza errori ortografici e senza particolari caratteri (es. “. xyz”). La presenza di errori potrebbe essere un segnale di un sito non protetto o falso.
sicurezza email

Controlla mittente e contenuto delle e-mail

I principali canali usati dagli hacker per ottenere illegalmente le tue credenziali di accesso e le informazioni sensibili sono le e-mail o gli sms.

Capita di ricevere e-mail da mittenti apparentemente affidabili, in cui viene chiesto di cliccare su un link, dove inserire i propri dati per accedere ad un servizio o per entrare all’area riservata del proprio home banking.

Controlla sempre il mittente delle comunicazioni che ricevi e non accedere mai ai link sconosciuti. Non inserire mai le tue credenziali su siti che non conosci. Controlla con attenzione questi elementi per riconoscere gli attacchi:

  • La presenza di errori ortografici, di traduzione o formattazione nel messaggio, rappresentano un segnale d’allarme, meglio non prendere in considerazione queste comunicazioni.
  • Se non conosci il mittente o questo contiene delle parole molto lunghe o caratteri inusuali, meglio diffidare.
  • Non basta che il mittente sia Banca Ifis, leggi bene il contenuto del messaggio e quello che ti viene chiesto di fare.

Mantieni i dati in sicurezza, anche nelle attività di tutti i giorni

Ecco alcune buone pratiche da tenere a mente nella propria quotidianità, per ridurre il rischio di incorrere in attacchi informatici:

  • Cerca di evitare di connetterti a Wi-Fi pubblici o a reti non protette da un sistema di autenticazione: queste reti, possiedono un basso livello di sicurezza, la possibilità di essere intercettati da parte di un malintenzionato è maggiore.
  • Imposta la rete Wi-Fi di casa con una password complessa: sostituisci sempre quella preconfigurata, rendendo così più difficile l’accesso al Wi-Fi da parte di utenti non autorizzati.
  • Non lasciare mai incustoditi i tuoi dispositivi e non lasciare visibili le tue password.

Non annotare la password del tuo PC dove possa essere trovata da altri.

Ricorda: Banca Ifis non ti contatterà mai per effettuare operazioni sul tuo conto, né ti chiederà autorizzazioni all’accesso. Inoltre, non ti chiederà mai di fornire via e-mail, sms o telefono la password di accesso o PIN.

Attraverso questi consigli si può ridurre l’efficacia di questi tentativi di truffa online, tienili sempre a mente per riconoscerli e saperli fronteggiare in futuro.

Sai cos’è il social engineering?

Il social engineering è una tecnica di attacco cyber basata sullo studio del comportamento delle persone con il fine di spingere la vittima a compiere azioni rischiose. Si basa sulla psicologia umana e approfitta delle emozioni e degli impulsi delle vittime per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubare l’identità della persona colpita.

Di seguito alcune pratiche diffuse di social engineering e alcuni consigli per evitarle:

Wangiri

Il wangiri è chiamato anche la truffa dello squillo telefonico: una persona riceve uno squillo sul proprio cellulare, proveniente da un numero estero; se richiama questo numero, per capire da chi proviene la chiamata, si attiva una segreteria telefonica o non si sente nulla dall’altro capo del telefono.

La chiamata provoca però un addebito di denaro sul credito telefonico del proprio cellulare, perché il numero internazionale chiamato è in realtà un numero a tariffazione speciale, che può costare anche diverse decine di euro al minuto.

Esistono varianti di wangiri ancora più pericolose che attivano servizi in abbonamento all’insaputa della persona truffata. In questo caso ci si accorge solo in un secondo momento di essere stati truffati ed è molto difficile capire chi sia il colpevole.

Un metodo per difenderti dal wangiri è quello di evitare di richiamare i numeri sconosciuti da cui ricevi squilli.

 

 

Truffa WhatsApp

Nella truffa WhatsApp il truffatore contatta con un messaggio su WhatsApp la vittima, fingendosi un parente che ha perso il cellulare e ha bisogno di denaro perché si trova in difficoltà. Il malcapitato, credendo di parlare con un proprio caro, invia il denaro secondo le modalità richieste, perdendolo.

Ecco alcuni consigli per combattere la truffa WhatsApp:

  • Verifica l’identità del mittente attraverso una chiamata o un messaggio separato;
  • Non rispondere al messaggio, cancella la conversazione ed elimina il numero in rubrica;
  • Nel caso tu apra il messaggio, non cliccare su eventuali link presenti.

Spinta fraudolenta al pagamento

La vittima autorizza volontariamente il trasferimento di fondi, spesso tramite online banking o telefono, perché gli viene richiesto da qualcuno di cui si fida. In realtà si tratta di un truffatore che ottiene il denaro.

Ad esempio, un finto dipendente bancario può richiedere un pagamento ad un cliente, fingendo che questo sia necessario per risolvere un problema sul suo conto.

Ecco alcuni consigli per combattere questo tipo di truffa:

  • Verifica le richieste che ricevi, mantieni sotto controllo ogni tuo pagamento, ponendo sempre attenzione a richieste impreviste o provenienti da sconosciuti;
  • Mantieni il software antivirus aggiornato, lavorare con sistemi informatici di ultima generazione garantisce una maggiore sicurezza.

Truffa romantica

Nella truffa romantica il truffatore si finge una persona in cerca di amicizia o relazioni e contatta, soprattutto tramite i social network, le persone sole.

 

Queste instaureranno un rapporto di “amicizia digitale”, affezionandosi alla persona che le sta truffando. Infine, l’impostore chiederà loro somme di denaro utilizzando motivazioni fantasiose.

Ecco alcuni consigli per non cadere in questa tipologia di truffa:

  • Controlla su un motore di ricerca, il nome e le immagini del profilo della persona che richiede l’amicizia, verificando che non vi siano già segnalazioni da parte di altri utenti.
  • Non fidarti di chi chiede denaro o dati bancari con insistenza e/o urgenza come ad esempio emergenze improvvise, spese mediche o biglietti aerei. Non inviare mai denaro a qualcuno che non hai incontrato di persona.
  • Non condividere informazioni personali: evita di condividere dettagli come indirizzo, numero di telefono o foto compromettenti. Questi possono essere utilizzati per ricattarti.
  • Fai attenzione agli errori di ortografia e grammatica, alle incongruenze delle storie raccontate e alle scuse utilizzate come ad esempio quella della webcam che non funziona mai.
  • Denuncia alla autorità competenti ciò che sta accadendo e segnala il profilo
  • Contatta la tua banca se hai fornito i dati del tuo conto.

Truffa dell'investimento

La truffa può iniziare con il contatto tramite social network da parte di un presunto intermediario finanziario che propone l’iscrizione ad una piattaforma di trading online e promette grandi investimenti e profitti. Il truffatore, in un secondo momento, richiederà alla vittima una piccola somma di denaro da investire che, inizialmente, sembrerà portare ad un guadagno. Le richieste di denaro proseguiranno e di volta in volta verranno richiesti importi sempre più rilevanti, con la prospettiva di un “guadagno facile”.

Una volta investiti i soldi, non si avrà più notizie dal falso intermediario finanziario, perdendo così tutto quello che si ha guadagnato e investito.

Ecco come difendersi da questa tipologia di truffa:

  • Diffida da presunti “guadagni facili” e da quelli praticati dagli istituti di credito non verificati;
  • Assicurati che l’intermediario finanziario che propone il trading online sia autorizzato, visitando i siti web della Consob e della Banca d’Italia;
  • Verifica attraverso i motori di ricerca sul web, la presenza di eventuali recensioni o commenti sulla società di trading o del sito internet che ti ha contattato.
  • Controlla la presenza di errori grammaticali e/o di ortografia presenti nel contenuto dell’SMS.