Quante volte navigando su un sito web o su un social media ci è capitato di imbatterci in un quiz, un gioco o una challenge o un’offerta che ha attirato la nostra attenzione? Ma siamo davvero così sicuri che dietro a tutto questo non si nasconda un inganno?
Esistono infatti una grande quantità di truffe online che cercano di sottrarci i nostri dati sensibili, definite come “phishing”. Phishing ha un’assonanza con la parola fishing, che in inglese vuol dire “pescare”. Proprio come il pesce abbocca all’amo, la truffa del phishing ha l’obiettivo di adescare gli utenti e di indurli a fornire i propri dati personali con una semplice veloce azione, come diremmo con spiacevole sorpresa “e voilà, i nostri dati sono stati sottratti come per magia”.
Ad oggi gli attacchi di tipo phishing sono cresciuti in modo vertiginoso. Tale dato è molto indicativo poiché nonostante la consapevolezza riguardante il tema sia sempre più diffusa, i tentativi di frode sono ogni giorno più numerosi e con modalità sempre più persuasive. I phisher possono usare questi metodi per costruire un profilo fittizio che proverà a convincerci ad abboccare (phishing) alle sue richieste per poi accedere ad esempio ai nostri dati.
Alcune tecniche relative al convincimento di una persona tramite la psicologia possiamo trovarle nell’arte del mentalismo.
Come allora imparare dal mentalismo per proteggerci online?
Con una proposta di parallelismi con il mentalismo proviamo a capire come possono agire i phisher e al contempo adottare degli accorgimenti online per proteggerci da tali azioni, che sono decisamente ben lontane negli intenti da una performance di mentalismo.
Un esempio purtroppo ricorrente di un’azione malevola online è rappresentata dal phishing attraverso un contatto via posta elettronica. Il phisher, ossia l’utente malintenzionato, può spedire ad una o più persone una email che simula, nella grafica e nel contenuto, la tipica comunicazione email di un altro utente generalmente noto al destinatario e ritenuto di fiducia (come un’istituzione, sia essa una banca, la posta o il comune). L’email contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il conto corrente o account. È con la comunicazione repentina di queste situazioni che richiedono un’azione immediata da parte del ricevente che il truffatore può attirare l’attenzione.
Come si vede nell’immagine: in questo messaggio di posta elettronica veniamo informati di un’urgenza chiedendoci di verificare le credenziali di accesso ad un nostro account.
Come fare per proteggerci? Come un mentalista, non abbiamo fretta, controllate ogni dettaglio, una buona pratica è non agire d’impulso e verificare il contenuto e i dettagli di tutta la comunicazione online, alcune semplici domande che possiamo farci potrebbero di fatto aiutarci nell’identificare la presenza di phishing : l’email dell’utente che vi ha scritto è inviata da un account a voi noto? l’email dell’utente che vi ha scritto presenta lo stesso dominio del sito web di vostra conoscenza? vi sono errori nel testo? il testo è generico (ad esempio non si rivolge a voi ma ad un generale “utente”? il contesto dell’urgenza, sapendo che le banche o gli istituti di crediti non vi contatteranno mai con questa modalità, presenta tutti i contatti ufficiali per verificare la veridicità dell’urgenza senza inserire alcun dato personale?
Inavvertitamente può capitare di accedere con i propri dati ad un sito fasullo che simula la home page di un sito che siamo soliti visitare. In questa copia fittizia della pagina ufficiale di un determinato sito web, viene chiesto all’utente di inserire alcune credenziali, che saranno poi sottratte.
Questi attacchi si sono evoluti con il tempo e non riguardano più solamente l’email, ma anche video, immagini, video conferenze e soprattutto i social media. Infatti, accade molto spesso che vengano create delle pagine di accesso praticamente identiche a quelle dei social network più noti che hanno però lo scopo di sottrarre i nostri dati. Accedendo ai link che puntano a tali pagine, un utente che inserisce le sue credenziali pensando di effettuare il login al sito reale, le invia invece direttamente al PC dell’utente malintenzionato.
L’efficacia dei siti specchio, ovvero siti web fasulli che simulano siti piu’ popolari, non è dovuta solo alla somiglianza grafica ma soprattutto all’abilità dei truffatori di utilizzare tecniche di persuasione che spingono un utente a compiere determinate azioni, come un log-in svolto in tutta fretta, spesso inconsapevoli delle conseguenze.
Tuttavia, il furto delle credenziali non avviene solo immettendo le nostre credenziali all’interno di un sito fasullo oppure attraverso ricezione di email. Talvolta è possibile rivelare informazioni e dati personali attraverso metodi ancora più ambigui, come ad esempio partecipando ad apparenti innocui quiz presenti nei social media.
I quiz in questione sono ad esempio sondaggi apparentemente innocui che popolano il feed dei nostri social media e ai quali si partecipa per intrattenimento. Le risposte fornite in questi quiz/sondaggi potrebbero essere utilizzate per fornire a phisher senza scrupoli le risposte alle tue domande di sicurezza online.
Molte di queste domande potrebbero infatti essere simili – se non identiche – alle domande di sicurezza utilizzate da istituti di credito oppure da altre piattaforme online.
Come fare per proteggerci? Come un mentalista, anche in questo caso non abbiate fretta, chiediamoci sempre quale sia lo scopo dell’interazione e se quanto riveliamo nelle risposte vada bene per noi che siano a disposizione di sconosciuti.