Il fenomeno dei siti scam, ossia delle frodi online, sta raggiungendo proporzioni sempre più preoccupanti in conseguenza anche del maggior utilizzo della rete da parte degli utenti. È indubbio che quanto più su internet si svolgono transazioni economiche, che comportano il trasferimento di moneta elettronica, tanto più attori malintenzionati tentano di intercettare tali pagamenti.
È quindi necessario alzare il livello di attenzione e, soprattutto dotarsi di conoscenze e competenze adeguate per poter comprendere se un sito internet sia effettivamente ricollegabile al soggetto che ne appare titolare o se si tratti, invece, di uno scam, e quindi di un’esca volta a carpire informazioni dei visitatori (credenziali di autenticazione come user-id e password, informazioni di contatto, etc.) o addirittura a compromettere dal punto di vista della sicurezza informatica il dispositivo con cui ci si collega.
Cerchiamo di individuare il fenomeno e di analizzare gli strumenti di tutela.
Le frodi online più comuni
Dal punto di vista delle tipologie ci sono diversi tipi di scam che operano secondo varie modalità: dalla pubblicazione di informazioni non veritiere alla promessa di vantaggi economici rilevanti; in tutti i casi l’obiettivo è quello di ottenere delle informazioni o direttamente un pagamento o il trasferimento di valore dal soggetto truffato. Nel caso delle informazioni i siti scam mirano a ottenere le credenziali dell’utente per poi utilizzarle in maniera fraudolenta, accedendo a siti su cui il medesimo è registrato per approvare transazioni economiche.
Dal punto di vista generale tutte le frodi online fanno leva su una serie di componenti per cercare di sfruttare le debolezze degli utenti. Innanzitutto “gettano l’esca”, ossia in termini più tecnici adottano delle metodologie di phishing (tramite email, messaggi SMS, e con i sistemi di messaggistica più comuni) per portare l’utente a navigare sul sito scam. Una volta giunto sul sito internet fraudolento l’utente dovrà svolgere un’azione che espone le proprie informazioni o i propri dispositivi all’attaccante (come inserire le proprie credenziali o far attivare meccanismi di scripting malevoli verso i dispositivi). Infine, gli attaccanti passano alla fase esecutiva: le informazioni vengono utilizzate per approvare transazioni o i dispositivi infettati per poter poi raggiungere gli scopi più diversi.
Ovviamente lo schema può essere anche più complesso, ma tendenzialmente le varie fasi sono sempre del tipo sopra descritto.
I siti scam, quindi, non costituiscono attacchi informatici in senso stretto, ma sfruttano tecniche di social engineering per portare gli utenti al compimento dell’azione desiderata. I messaggi che operano come esche, veicolati molto spesso attraverso i social network, le email o messaggi SMS, vengono formulati in modo da far ritenere che il mittente sia un soggetto con cui abbiamo avuto rapporti in precedenza (diffusissimi oramai i messaggi che ci indicano problemi con una consegna di un acquisto online). Il più delle volte, inoltre, le informazioni di contatto sono il frutto di furti di identità precedenti o di un data breach avvenuto presso un fornitore di servizi presso cui l’utente era registrato.
Ciò contribuisce a indurre l’utente in errore, perché il precedente messaggio proveniente dal soggetto “conosciuto” e il rinvio da questo a un sito internet scam che utilizza componenti grafiche e testuali analoghe a quelle del sito originale aumentano il livello di fiducia al compimento dell’azione richiesta.
Siti scam: cosa sono e tipologie
Un sito scam è un sito internet che si presenta simile a quello originale, ma è in realtà gestito da malintenzionati con specifici obiettivi di frode verso gli utenti.
Pur condividendo i medesimi meccanismi operativi che sono stati generalmente illustrati sopra, esistono oramai varie tipologie di frodi online effettuate con siti SCAM, volti a coprire le più diverse tipologie di servizi che sono resi attraverso i siti internet.
Esistono innanzitutto dei siti web di phishing, ossia che presentano false informazioni per convincere gli utenti a condividere le proprie informazioni private. Si tratta molto spesso di siti che ricopiano siti di banche o di provider di posta elettronica, in cui viene richiesto all’utente di inserire le credenziali del proprio account o i dati della carta di credito, informazioni che poi vengono utilizzate a danno degli utenti stessi (ad esempio autorizzando o compiendo, in un momento immediatamente successivo a quello della ricezione delle informazioni, transazioni economiche).
Un’altra categoria comune di siti scam è quella degli shopping online. Questi siti sembrano negozi online, ma di qualità molto scadente, che in realtà hanno come unico obiettivo quello di carpire informazioni sulla carta di credito degli utenti (in alcuni casi anche offrendo dei prodotti o servizi di basso valore).
Più tecnici sono i siti scareware che utilizzano falsi popup o avvisi di sicurezza circa fantomatici virus presenti sul dispositivo dell’utente e invitando lo stesso a scaricare un software antivirus che in realtà è un malware volto a danneggiare, in vari modi, il dispositivo stesso.
Siti scam si registrano oramai sui più svariati servizi e prodotti: farmacie online, applicazioni o siti di incontri, siti di progetti di criptovalute o di investimenti in criptovalute, o siti con cui vengono effettuate promesse di pagamenti (la famosissima truffa dell’eredità dello zio d’America) dove però si precisa che per riceverli è necessario effettuare dei versamenti per le commissioni (che saranno intascate dal truffatore che poi risulterà irrintracciabile).
È necessario sottolineare che molte frodi online tendono a far leva sulla credibilità verso gli utenti dei soggetti di cui si appropriano fraudolentemente di marchi e prodotti: il messaggio che porta al sito, e spesso anche il sito scam, fanno riferimento a marchi conosciuti dagli utenti (di marketplace, di prodotti come smartphone, tablet, etc.) utilizzando in tal modo la leva psicologica di quel richiamo di autorità per rassicurare l’utente.
In altre ipotesi i malintenzionati sfruttano altre leve, così in questo periodo si sono moltiplicati i siti scam da cui possono essere effettuate offerte in favore dell’Ucraina o, durante la pandemia, siti internet falsi che chiedevano agli utenti di inserire una serie di informazioni (tra cui anche dati sanitari) al fine di essere inseriti nei programmi di sperimentazione del vaccino per il COVID-19.
Comprendere quando un sito è falso e difendersi dai siti scam
Trattandosi principalmente di frodi online che fanno leva sulla buona fede degli utenti, la difesa deve necessariamente attuarsi attraverso una maggiore conoscenza e, soprattutto, attenzione da parte degli stessi.
I siti scam utilizzano, come detto, quasi sempre gli stessi meccanismi, e si distinguono spesso per alcuni specifici elementi:
- Per attuare le frodi online i malintenzionati utilizzano un linguaggio fortemente emotivo: le leve sono l’urgenza nel dover compiere una determinata azione (del tipo “la tua consegna è bloccata”), la paura di conseguenze negative (“il tuo computer è infetto”) o la prospettiva di guadagni ingenti (“guadagna facilmente” o prezzi eccessivamente inferiori di alcuni prodotti rispetto a quelli presenti sul mercato);
- Scarsa qualità del design: i siti SCAM spesso sono costruiti velocemente e sono destinati a rimanere attivi per poco tempo. Questo induce gli sviluppatori a realizzare questi siti SCAM con layout e scelte di design molto più semplici rispetto ai siti originali, che ovviamente sono implementati in maniera molto più professionali. È quindi utile esaminare nel dettaglio come appare un sito web, per comprendere in tal modo se la qualità è effettivamente quella che ci si può aspettare dall’azienda che il sito rappresenta;
- Errori grammaticali o di sintassi: spesso gli attaccanti non sono madrelingua e utilizzano traduttori automatici per realizzare la parte testuale del sito scam (o del messaggio di phishing). Anche questo è un forte segnale di allarme, perché la presenza di errori grammaticali, l’uso errato di parole al plurale o al singolare, verbi desueti e altri indicatori del genere devono essere interpretati come un campanello di allarme rispetto l’affidabilità di quel sito web;
- Carenza di informazioni sul gestore: è bene ricordare che secondo la normativa italiana (derivante dalla direttiva europea sul commercio elettronico) è obbligatorio indicare sui siti di e-commerce gli estremi del venditore, compresa la partita IVA. È comunque prassi invalsa in tutti i paesi occidentali che indicazioni precise per identificare il soggetto. I siti scam spesso non riportano informazioni o quelle presenti sulle pagine sono false.
Chiariti gli elementi su cui è opportuno fare attenzione quando un sito internet richiede di inserire dati personali o informazioni di pagamento o di scaricare un determinato software, alcune accortezze per difendersi dalle truffe online possono così essere sintetizzate:
- Controllare sempre il nome di dominio: i siti scam utilizzano nomi di dominio che sembrano o sono simili a quelli dei siti originali. È quindi opportuno verificare con attenzione sia la dicitura del nome di dominio sia l’estensione utilizzata (.com, .it, etc.) dal sito internet. È possibile anche effettuare una ricerca su WhoIS per controllare a chi effettivamente il dominio risulti registrato. Un discorso analogo vale anche per le email con cui vengono inviati i messaggi di phishing. Il più delle volte controllando il dominio dell’indirizzo mittente emerge che lo stesso è al di fuori dell’organizzazione che sembrerebbe aver inviato il messaggio, dando così un forte segnale di incertezza circa la genuinità dello stesso;
- Fare attenzione allo strumento di pagamento: raramente un sito internet chiederà di inserire i dati di pagamento direttamente su un form online. Il più delle volte, tranne che per i marketplace più conosciuti o i grandi provider di servizi, i siti internet si avvalgono di specifici gateway di pagamento che richiedono di svolgere la transazione in un sito separato e diverso da quello su cui si sta effettuando l’acquisto. Pertanto, è consigliabile fare molta attenzione alle richieste di inserimento di un numero di carta di credito direttamente sulle pagine del sito internet verificandone attentamente l’affidabilità con gli strumenti qui segnalati. In ogni caso, è assolutamente sconsigliato effettuare pagamenti con bonifico bancario, in quanto si perde qualsiasi possibile copertura dalle frodi online;
- Non farsi allettare da offerte troppo vantaggiose: una delle pratiche di frodi online più comuni è quella di offrire prodotti a prezzi eccessivamente vantaggiosi rispetto a quelli applicati sul mercato o promettere ingenti guadagni per minimi investimenti. Tale tipo di truffa avviene sia tramite siti SCAM sia tramite annunci pubblicati su siti specializzati. Già la sola presenza di offerte di questo tipo dovrebbe indurre a far riflettere sull’originalità delle stesse;
- Verificare la presenza di una connessione sicura: da qualche anno i browser Internet considerano di default non sicuri i siti internet che non utilizzano certificati SSL per la navigazione. Il problema è che i siti scam possono ottenere facilmente tali certificati, sia acquistandoli da provider in Paesi stranieri non soggetti a controlli. È quindi opportuno verificare sempre, cliccando sul sito del “lucchetto” presente nella barra di navigazione, l’intestazione del certificato SSL e se lo stesso sia effettivamente riconducibile al soggetto che appare come titolare del sito;
- infine, è sempre consigliabile effettuare una ricerca su Internet. Quando un sito sconosciuto presenta gli elementi di dubbio sopra descritti e richiede di svolgere un’azione come immettere informazioni personali è sempre opportuno svolgere una ricerca su internet al fine di verificare sia la reputazione del sito sia la sua storia e presenza online. Vi sono inoltre alcuni servizi privati che permettono di verificare se un sito è stato oggetto di segnalazione di truffa online ed alcuni Paesi consentono anche di segnalare eventuali truffe.
Conclusioni
Il fenomeno delle frodi online è sempre stato uno dei principali problemi per la sicurezza degli utenti della rete. L’intensificarsi delle transazioni e il mutamento delle modalità di fruizione dei contenuti hanno ampliato in maniera considerevole i tentativi da parte dei malintenzionati, considerando anche la maggior velocità di fruizione di detti contenuti sui dispositivi mobili.
Come sopra accennato si tratta il più delle volte di operazioni di social engineering, con cui si inducono i destinatari a fornire informazioni personali camuffando l’identità del soggetto che le richiede e facendo leva sulla sua “autorità” e su meccanismi di paura o incentivo.
Per evitare di trovarsi coinvolti in tali situazioni è quindi necessario alzare il livello di attenzione, tenendo in considerazione il fatto che l’utilizzo degli strumenti digitali richiede comunque un livello di “educazione tecnologica” che consenta di comprendere e analizzare quei requisiti necessari a poter considerare affidabile un interlocutore online.
Infine, anche azioni proattive possono aiutare a rendere più sicura la navigazione: Google consente di segnalare tramite un’apposita pagina quei siti che provano a effettuare operazioni di phishing così come è possibile effettuare una segnalazione di siti SCAM presso il network ICPEN tramite l’apposito portale econsumer.gov.
