Sempre più utenti segnalano di essere vittima di spoofing, la nuova frontiera delle truffe digitali, con cui i malviventi riescono ad accedere ai dati personali e bancari dei meno esperti spacciandosi però per conoscenti o istituzioni. Nella trappola sono finite decine di persone in tutta Italia, e non sempre il buonsenso basta, in questo caso, a evitare fregature.
I ladri online riescono, attraverso raffinate tecnologie, a inviare sms a nome, ad esempio, delle Poste o di importanti banche. A differenza del phishing, la sofisticata tecnica prevede l’uso dello stesso numero (in apparenza) di quello da cui si ricevono invece informazioni reali dall’istituto.
Non solo. Esistono altre forme di spoofing, che prevedono ad esempio l’utilizzo di un indirizzo Ip attendibile, lo spoofing via email e la modifica del server Dns per dirottare il nome di un dominio specifico verso un altro indirizzo Ip.
Come funziona lo spoofing e perché è diverso dal phishing
In pratica, e senza termini particolarmente tecnici, i truffatori riescono a convincerci di aver ricevuto un sms o una email da un mittente conosciuto, come il nostro istituto bancario.
In genere all’interno del messaggio è contenuto un invito all’azione, ad esempio fare click su un collegamento. Che sembra reale, e può riportare, in apparenza, al sito ufficiale della banca.
L’indirizzo risulta infatti identico al portale genuino, ma a cambiare sono i codici e gli indirizzi che non si vedono a occhio nudo o nella barra dell’url. Lo stesso può capire con numeri che sembrano quelli di amici e parenti.
Una volta aperti i collegamenti, c’è il rischio che la pagina richieda dati personali o di fatturazione, o scarichi, anche automaticamente, dei virus che infetteranno il computer.
Non sempre il phishing, pratica che prevede il furto di dati, viene operato con lo spoofing. E non sempre lo spoofing è indirizzato al phishing: le intenzioni dei truffatori potrebbero essere diverse.
Come difendersi dallo spoofing e dalle altre truffe online
Esistono delle buone norme di comportamento per difendersi dallo spoofing, e prevedono una grande dose di buonsenso e discrezione davanti a pagine o email che chiedono dati sensibili. Come segue.
- Non rispondere mai a email o sms che chiedono dati del proprio account o informazioni di accesso. Non è verosimile che un sito o un’azienda chiedano informazioni simili senza crittografia;
- Verificare sempre gli indirizzi del mittente di qualsiasi email sospetta e il numero reale da cui si ricevono messaggi, anche quando questi arrivano già con il nome di un’azienda o di un ente bancario;
- Ricordare come Poste Italiane e istituti bancari non richiedono mai all’utente di cliccare su un link posto all’interno di una comunicazione di qualsiasi genere. L’azienda mira infatti in ogni caso a spingere il soggetto a fare da sé le proprie ricerche. In questo modo sarà certo di accedere al sito ufficiale e non una copia;
- Avvisare le forze dell’ordine e la Polizia Postale immediatamente, quando certi d’essere davanti a un tentativo di furto di dati o movimenti sospetti sui siti web che si frequentano abitualmente. Un modo per tutelare sé e limitare danni per altri.
