La borsetta di un marchio di lusso a un prezzo incredibile, le sneaker di marca quasi regalate, la casa delle vacanze da sogno praticamente gratis, il volo a lunga distanza x volte più economico che altrove, rendimenti straordinariamente elevati sugli investimenti, una vincita da capogiro alla lotteria dal nulla, il grande amore di una nota conoscenza di Internet o la travolgente eredità di un parente sconosciuto. Quasi troppo bello per essere vero. E, quasi sempre, si rivela non essere vero, bensì una truffa! Tali «offerte» mirano il più delle volte a indurre le vittime a effettuare direttamente un pagamento fraudolento o a ottenere da loro quante più informazioni personali possibili, come nome, data di nascita, numero di carta di credito, data di scadenza della carta o codice di verifica della carta (CVC). Con i dati della carta di credito, carpiti con l’inganno, i criminali effettuano poi acquisti non autorizzati nel commercio online.
Oltre all’allettante prospettiva dell’affare del secolo o dei soldi veloci, i truffatori ricorrono spesso anche alla cosiddetta ingegneria sociale per i loro intenti criminali. Essa consiste nello sfruttare abilmente qualità umane come la disponibilità ad aiutare, la buona fede, l’insicurezza, la vergogna, la paura o il rispetto delle autorità. Le vittime vengono manipolate e indotte a effettuare pagamenti, a rivelare informazioni sensibili (come i dati della carta di credito), a eludere funzioni di sicurezza o a installare malware su un dispositivo.
I frodatori sviluppano costantemente nuovi metodi e si servono dell’intelligenza artificiale per rendere i loro attacchi sempre più professionali e personali. In questo modo diventa sempre più difficile riconoscerli. Tuttavia, la stragrande maggioranza dei tentativi di frode può essere respinta con il buon senso, una buona dose di sfiducia e la dovuta cautela. Informazioni aggiornate al riguardo sono disponibili anche sul sito web di Card Security.
Phishing
Nel phishing, i criminali cercano di indurre le loro vittime a fornire informazioni personali o i dati sensibili delle carte di credito, ad es. attirando i titolari di carta su siti web fasulli. A tal fine, i malintenzionati inviano e-mail, SMS o chat fake contenenti link integrati. Le vittime vengono invitate a cliccare sul link e a inserire i dati della loro carta di credito in un modulo online sul sito web fraudolento che si apre. Spesso i truffatori falsificano in modo professionale interi siti web o mittenti di e-mail di aziende note o di emittenti di carte. Con i dati ottenuti i criminali effettuano acquisti online non autorizzati.
Vishing
Nel vishing, anche noto come voice phishing, i frodatori procedono analogamente al phishing. Tramite chiamate automatizzate cercano di ottenere dalle potenziali vittime i dati sensibili delle loro carte. Una forma di vishing è costituita dalla truffa del supporto tecnico in cui si fingono al telefono rappresentanti di un’azienda tecnologica offrendosi di risolvere immediatamente asseriti gravi problemi hardware o software. Nel «migliore dei casi» inducono le loro vittime «solo» a pagare per risolvere un problema inesistente. Nel peggiore dei casi, i truffatori ottengono accesso remoto al dispositivo della vittima, dove possono installare software dannosi tramite cui, oltre a danneggiare o crittografare dati e reindirizzare richieste di siti web verso siti fraudolenti, possono in particolare anche sottrarre informazioni riservate come password e dati sensibili relativi a pagamenti o a strumenti di pagamento.
Pharming
Nel caso del pharming, i titolari di carta inseriscono un indirizzo Internet corretto, ma in seguito vengono reindirizzati, senza che se ne accorgano, su un sito web contraffatto (spesso molto bene). Ciò avviene tramite un virus rispettivamente un trojan, che la/il titolare della carta ha preso in precedenza inconsapevolmente. Un trojan è un malware che spesso si presenta come un software legittimo, un PDF innocuo o qualcosa di simile. Le vittime vengono spinte – per lo più attraverso l’ingegneria sociale – a scaricare ed eseguire sul loro sistema il trojan non riconosciuto. Come per il phishing, anche nel pharming alle vittime viene chiesto di inserire dati personali e le informazioni sensibili delle carte sul sito fasullo. Una volta in possesso di tali informazioni, i truffatori derubano i titolari di carta. Questa tipologia di truffa è denominata «pharming» (un composto di «phishing» e «farming»), dal momento che spesso i truffatori gestiscono dietro le quinte intere server farm con siti falsi.
Scamming
Nello scamming, i truffatori cercano di adescare le loro vittime con offerte particolarmente allettanti: il grande amore, i soldi veloci, l’abitazione nuova o il lavoro dei sogni. Con pretesti e promesse vuote, gli scammer cercano di indurre le loro vittime a effettuare pagamenti anticipati o a rivelare dati sensibili (ad es. caricamento di documenti d’identità o passaporto) e così raggiungere la presunta felicità. Lo scamming può presentarsi in diverse forme. La truffa riguarda, ad esempio, vincite alla lotteria inventate (Lottery scam), prospettive di rendimento non garantite (Investment scam), offerte di alloggi o vacanze fantasma (Flatmate o Holiday scam), lavori da sogno inesistenti (Employment scam) o un grande amore simulato (Romance scam).
Manipolazione di distributori automatici di banconote e terminali di pagamento.
I malfattori si procurano informazioni sensibili sulle carte di debito o di credito manipolando i distributori automatici di banconote o i terminali di pagamento. In particolare, mirano a ottenere il PIN. A tal fine, ad esempio, vengono applicate tastiere finte o micro-telecamere che registrano il PIN sui dispositivi di inserimento nel modo il più discreto possibile. Dopodiché la carta viene rubata e utilizzata abusivamente, ad esempio per il prelievo di denaro contante.
Il buon senso e una sana dose di sfiducia scoraggiano gli attacchi fraudolenti.
I pagamenti con carte di credito sono tecnicamente sicuri grazie alle tecnologie più moderne e altamente complesse (inclusa l’applicazione dell’intelligenza artificiale), all’esperienza decennale dell’industria delle carte di credito e al costante sviluppo della tutela dalle frodi. Tuttavia, come in molti altri ambiti della vita, l’uomo costituisce in un certo qual modo un punto debole. Osservando alcuni punti fondamentali, però, questo rischio può essere gestito.
- Di principio, diffidare di e-mail/SMS/chat o telefonate da parte di sconosciuti.
- Se si ricevono e-mail con mittenti sconosciuti o sospetti, non cliccare mai sui link e non aprire mai allegati. Accedere solo direttamente dagli indirizzi dei siti web ufficiali.
- Controllare in ottica critica i mittenti delle e-mail e gli URL dei siti web. Spesso gli indirizzi fraudolenti si distinguono da quelli originali solo per un dettaglio (ad es. una lettera aggiuntiva):
- Prestare attenzione a indirizzi atipici o costruiti. Diversamente dagli indirizzi aziendali ufficiali, i truffatori spesso utilizzano servizi di posta elettronica gratuiti come @gmail.com, @hotmail.com o @yahoo.com, ecc.
- Visitare solo siti attendibili che iniziano per https:// o contrassegnati da un piccolo lucchetto (posizionare il puntatore del mouse sul link per visualizzare l’intero URL).
- Non lasciarsi ingannare da una formulazione senza errori, da un logo riprodotto in modo fedele o da un sito web perfetto. Tutto ciò è facilmente imitabile al giorno d’oggi. Occorre invece prestare attenzione al tono e alla presentazione di un messaggio o di un sito web: corrispondono a ciò che ci si aspetterebbe da un messaggio o da un sito web legittimo? Inoltre, un sito web corretto contiene in genere informazioni per la presa di contatto («Contatti» / «Colophon») e una pagina informativa (ad es. «Chi siamo»). In caso di dubbi si consiglia un colpo di telefono. Se non viene indicato alcun recapito telefonico o solo un numero di cellulare oppure se la chiamata non viene accettata, occorre prestare particolare cautela.
- Non dare mai seguito alle richieste di fornire i dati della carta di credito o le credenziali di accesso. Essere restii a caricare documenti d’identità (carta d’identità, passaporto) o farlo solo con ponderazione, solo in caso di procedure avviate autonomamente e solo su siti web sicuri (che iniziano per https:// o contrassegnati da un piccolo lucchetto).
- Ignorare le e-mail di emittenti di carte o altri istituti finanziari che contengono movimenti di conto asseritamente inusuali, conti chiusi o blocchi imminenti di mezzi di pagamento. I fornitori di servizi finanziari non informano mai di irregolarità via e-mail, né chiedono l’inserimento o la modifica di dati sensibili del conto o del mezzo di pagamento. In caso di dubbi, contattare il proprio fornitore di servizi finanziari utilizzando i relativi canali di comunicazione ufficiali (non tramite link o dati di contatto contenuti nel messaggio).
- Se si viene contattati da persone o istituzioni sconosciute, non trasferire mai loro denaro né comunicare i dati della carta di credito.
- Non trasmettere mai a terzi le password monouso / i codici ricevuti per l’autenticazione a due fattori.
- Mantenere segreto l’accesso alle app di online banking o alle app delle emittenti di carte.
- Essere particolarmente sospettosi in caso di inviti all’azione entro scadenze brevi: l’esercitare pressione temporale è un indizio sospetto. Altrettanto sospetti sono la minaccia di conseguenze e l’instillare ansia.
- Non prelevare denaro risp. non effettuare transazioni se gli sportelli automatici/i terminali di pagamento sono dotati di componenti inusuali/aggiuntivi.
- Attivare i servizi di notifica per ricevere un messaggio ogni volta che si effettua un pagamento con carta di credito.
- Se offerte dall’emittente della carta, adattare eventualmente le possibilità d’impiego della carta di credito alle proprie condizioni di vita o al proprio comportamento (ad es. limitare l’impiego all’Europa o disattivare i pagamenti online).
- Mantenere segreto il PIN e digitarlo di nascosto negli sportelli automatici/nei terminali di pagamento.
- Controllare tempestivamente l’estratto conto mensile della carta di credito per rilevare per tempo eventuali irregolarità (che devono essere contestate entro 30 giorni).
- Mantenere aggiornati i browser web e i sistemi operativi dei dispositivi elettronici (software antivirus e firewall).
- Utilizzare password complesse e sistemi di autenticazione a due fattori.
