Nel corso degli ultimi anni, le nostre finanze sono, letteralmente, finite online. Oggi controlliamo il conto da un sito web o da un’app, effettuiamo acquisti, facciamo trading, paghiamo bollette e trasferiamo somme di denaro, in maniera semplice e veloce. Ciò ha reso molte attività istantanee, eliminando le code agli sportelli, ma anche dannatamente vulnerabili ai criminali informatici.
Si stima che a fine 2017, i reclami relativi al cybercrime finanziario abbiano registrato un aumento del 350% rispetto al 2013 e di oltre il 44% rispetto al 2016. Negli USA è oramai comune il termine jackpotting, per definire il furto di contanti dai bancomat, sia direttamente che clonando le carte dei poveri clienti, che si accorgono del conto svuotato solo giorni dopo l’avvenuta violazione. C’è modo di difendersi da questi assalti online e offline? Si, e il punto di partenza è conoscere come agisce il nemico, per evitarlo.
La clonazione
Una delle tecniche ancora più utilizzate è quello dello skimming. Si tratta della duplicazione della carta di credito una volta che è stata inserita in un bancomat. Bastano pochi minuti, quelli necessari alla digitazione del pin e dell’operazione che si deve compiere, per clonare una tessera. A quel punto, il criminale può usare il numero di serie e le tre cifre sul retro per acquistare ciò che vuole online, vista l’assenza del dover digitare il codice segreto che invece serve quando si è allo sportello.
Telecamere segrete
Un’altra operazione molto comune è quella di installare piccole webcam, connesse in remoto, negli angoli delle macchinette ATM. Puntate sulla tastiere, questi occhi indiscreti possono scorgere il pin per poi rubare fisicamente la carta e prelevare il denaro prima che l’utente la blocchi, tramite i numeri verdi a disposizione.
Pharming
Simile al phishing, che di fatto ingloba anche il pharming, il cyber criminale invia per email o chat un sito web che riprende, quasi alla perfezione, quello della banca di riferimento (la difficoltà è azzeccare l’istituto di cui la vittima è realmente cliente). Successivamente, si invita il navigatore a inserire le credenziali di accesso al servizio presunto, per rubarle ed effettuare operazioni a proprio piacimento sul portale reale, utilizzando i dati ottenuti in precedenza.
Il sistema è in rapido declino grazie all’attivazione di opzioni come la doppia autenticazione che, per finalizzare una qualsiasi mossa dal conto, chiede di inserire un codice ricevuto sul cellulare registrato, così da rendere impossibile l’hacking. Resta il rischio, per chi non ha attivato il doppio step di verifica per siti terzi, di veder scalare il monte risparmi qualora le informazioni sottratte permettano di eseguire acquisti online, su piattaforme di e-commerce.
I sempreverdi keylogger
Usati più nel mondo computer che smartphone, anche i keylogger rappresentano una minaccia per chi opera sul proprio conto via web. Veicolati da un’app maligna o link fasulli, i keylogger si nascondono dentro pacchetti che, come un virus, installano il software nel telefono, per spiare e registrare tutti i caratteri digitati in un certo lasso di tempo. Così, se si apre l’app della banca, sarà possibile scoprire il nome utente e la password, e persino il codice ulteriore che abilita i pagamenti. Succede infatti che il doppio step di verifica consenta non di ricevere una password temporanea ma di sceglierne una terza, sempre uguale, da usare solo in via precauzionale. Conoscere anche questa permetterà agli hacker di immedesimarsi pienamente nella vittima prescelta.
Evita i Wi-Fi pubblici
Non finiremo mai di raccomandarlo: mai connettersi ai Wi-Fi pubblici se non è strettamente necessario e, se proprio si deve, sfruttare la connessione gratis solo per attività generali, come la lettura di email, al massimo i social, e non applicazioni critiche, tra cui l’home banking. Il motivo è semplice: impostare una falsa rete pubblica è un gioco da ragazzi, per creare una maschera che serve, in realtà, per intrufolarsi nei dispositivi collegati. Avendo libero accesso al network di uno smartphone o computer si può monitorare in pratica qualsiasi operazione, comprese quelle che riguardano gli account finanziari.
Come difendersi
Sono varie le norme da tener presente per preservare il più possibile le finanze personali, pur continuando a utilizzare funzionalità smart e internet. Possiamo dividerli in precauzioni offline e online. Le prime riguardano le attività presso i bancomat, cioè gli ATM. Se notate qualcosa di strano durante l’operazione, ad esempio difficoltà nell’inserire la carta, presenza di telecamere non comunicate che puntano il tastierino e instabilità della stessa tastiera, meglio avvisare l’istituto e dirigersi, prima di ritirare i soldi, presso un altro sportello.
In merito all’online invece, i rischi sono maggiori e, spesso, trasformati in realtà da una scarsa attitudine al diffidare da ciò che abbiamo dinanzi allo schermo, pensando che nel chiuso della nostra camera o cucina non può succedere nulla di brutto. In ogni caso meglio proteggere il telefonino con una password, possibilmente biometrica (volto, iride, scansione del dito); attivare per le app di home banking, qualora non lo sia già, la doppia autenticazione; non installare applicazioni al di fuori degli store ufficiali, non cliccare su link provenienti da email o chat di cui non conoscete il mittente e mettersi chiaro in testa che la banca non chiederà mai username e chiavi segrete e, qualora lo facesse, si può fare un passaggio di sicurezza con il call center al telefono. Evitare gli hotspot pubblici e i computer a uso di hotel, ristoranti e internet café, spesso macchine preferite dagli hacker e piene zeppe di virus.