Volo diretto Roma-NewYork a 290 euro. Troppo bello per essere vero? Attenzione, può trattarsi di una truffa. Tratte aeree finte, false prenotazioni, punti premio e credenziali rubate: il nuovo trend dei criminali informatici passa dalle truffe online per i viaggiatori. Le compagnie aeree hanno aumentato i prezzi dei servizi e dei voli, siamo nel pieno di un’inflazione globale, di conseguenza gli utenti sperano nelle super offerte ‘last minute’ che possano consentire loro di godersi una vacanza non spendendo capitali. E su questo fanno leva i cybercriminali che approfittano del calo d’attenzione, dovuto alla voglia di vacanza e di relax delle persone. Check Point Research (Cpr), la divisione Threat Intelligence di Check Point Software, pone l’accento su questo fenomeno, che risulta in crescita: i cybercriminali propongono una serie di offerte e sconti relativi alla meta ideale per le vacanze, e la truffa è dietro l’angolo per tutti. Vediamo i dettagli.
La ‘metodologia’ criminale
Alcuni esempi resi noti a margine della ricerca di Cpr rivelano le modalità di truffa operate dai cybercriminali, che agiscono spesso utilizzando credenziali rubate agli account personali di hotel e compagnie aeree o premi accumulati, che possono servire per acquistare dei biglietti o delle notti in hotel. Un metodo molto diffuso è quello di proporre credenziali rubate di account prestigiosi, come Marriott, Delta e Aa, che hanno accumulato premi o punti viaggio e che vengono offerte gratuitamente o vendute nei forum del darkweb.
I cybercriminali utilizzano anche un particolare tool, strumento di ‘brute forcing’ per rubare gli account.
Altra tattica è quella della creazione di ‘agenzie viaggi’ negli underground market russi, agenzie fasulle che vendono biglietti aerei e prenotazioni alberghiere a prezzi scontati del 45-50%, ma queste offerte vengono poi commissionate utilizzando account rubati. Il phishing resta una delle principali tecniche utilizzate dai cybercriminali per attirare gli utenti a fornire i loro dati, preferibilmente finanziari, e con ciò rubare denaro e generare transazioni fraudolente.
Il dato informatico
Si chiamano ‘infostealer’ i malware più sfruttati dai cybercriminali negli attacchi rivolti all’Italia negli ultimi sei mesi. E c’è un picco, verso metà marzo, che può essere un indizio preparatorio di un phishing pasquale. In particolare, l’Italia è stata attaccata principalmente da malware di tipo Blindingcan (nell’8% dei casi, contro lo 0,4% dell’impatto globale dello stesso malware), un nuovo tipo di accesso Trojan da remoto (Rat), che proviene dalla Corea del nord e può essere nascosto in diverse tipologie di file apparentemente innocue- come excel e pdf – che vengono poi attivate da remoto, con un impatto registrato pari al 70% negli ultimi 30 giorni. In media le organizzazioni italiane hanno subito circa 1206 attacchi a settimana negli ultimi sei mesi, e nel 87% dei casi i malware sono stati diffusi via mail.
Azioni criminali pianificate
“I criminali informatici pianificano le loro azioni rispetto agli eventi tematici, Pasqua per i viaggi, Natale, i Mondiali di Calcio, e organizzano campagne mirate utilizzando tecniche di phishing: diffondono via mail link malevoli sapendo che, in prossimità di questi eventi, è maggiore la probabilità che la gente cada nella truffa”. David Gubiani, Regional Director Sales Engineering – EMEA Southern & Israel di Check Point Software Technologies, ha commentato per Fortune Italia i dati emersi dalla ricerca. Dare delle percentuali precise, per questo tipo di truffe è molto difficile, ci dice Gubiani, “perché riguardano i privati che spesso rinunciano a denunciare la truffa, e comunque non sono semplici da monitorare. Quello che noi vediamo, e possiamo tracciare, sono gli aumenti del numero dei siti e delle mail di phishing, ma non riusciamo a capire in quanti ci sono ‘cascati’”. Abbiamo la certezza dei nostri numeri, il nostro prodotto rivela un dato di phishing, capiamo che c’è una campagna in atto, e che gli attacchi sono aumentati. “E per avere la certezza dei numeri bisogna capire quante sono state denunciate, molti non lo fanno”. Ultimamente ci sono anche delle false pubblicità che vengono diffuse attraverso i social media. “Ce n’è di ogni tipo, siti e compromessi. Chi gestisca i social ha un completo controllo del proprio contenuto ma non di quello che è proposto come advertising, perché le aziende acquistano spazi pubblicitari sui social in automatico, ci sono gli algoritmi che fanno in modo che quello che appare nei banner dei singoli non possa essere controllato, perché sono profilati in base al singolo collegamento”. Per esempio, lo stesso account aperto dalla Grecia mi darà evidenza di pubblicità diverse rispetto a quando lo apro dall’Italia. “Compromettere quei banner pubblicitari è una delle cose più comuni, anche sovrapporre banner fake su quelli ufficiali. Questo è di fatto un fenomeno diverso dal phishing, si tratta di pagine web compromesse o semplicemente di porzioni di banner compromesse, il sito riceve i banner in automatico da terza parti e lo pubblica”. Ogni piccolo passo di questa catena può corrispondere ad un tipo diverso di truffa. Dipende da qual è l’obiettivo della campagna: se è raccogliere dati (rubare carta di credito e rivenderla) o truffare direttamente (ruba la carta e la utilizza per fare acquisti).
Come difendersi dalle truffe di viaggio online
Il consiglio di Check Point ? Non fidarsi di quello che è troppo bello per essere vero, nella maggior parte dei casi è una truffa. “Diffidare delle offerte più strabilianti: i truffatori utilizzano offerte allettanti per attirare viaggiatori ignari”. Gli esperti di sicurezza informatica mettono in guardia e forniscono utili consigli agli utenti: “Utilizzare metodi di pagamento sicuri: quando si prenota un viaggio online, meglio utilizzare la carta di credito prepagata o PayPal, che offrono maggiori protezioni e facilitano la contestazione di transazioni non autorizzate”. E’ importante verificare l’indirizzo del sito: la presenza del “https” all’inizio dell’Url significa che il sito dispone di un certificato Ssl, e che i dati immessi sono criptati e sicuri. “Per fare questa verifica può bastare copiare ed incollare il link nelle note, e guardare per esteso l’indirizzo” chiarisce CheckPoint. E’ importante essere sicuri di sapere da chi si sta acquistando: “Meglio utilizzare i canali ufficiali, i siti delle compagnie aeree note, guardare le recensioni degli altri utenti, verificare se altri utenti hanno dato recensioni dell’azienda da si vuole acquistare”, ricordano gli esperti. Controllare anche le mail da cui arrivano le comunicazioni: se si ritiene che l’e-mail sia stata inviata da American Airlines, ma il dominio dell’indirizzo email non contiene ‘americanairlines.com’, si tratta di un’e-mail di phishing.
La parola agli utenti
“Truffe di questo tipo sono già note al Codacons, e vanno avanti da anni”. Gianluca Di Ascenzo, presidente Codacons, commenta così la ricerca per Fortune Italia, e sottolinea: “Il problema vero è che i cyber criminali hanno sempre più affinato le proprie tecniche per carpire la buona fede degli utenti, spesso facendo leva sull’aspetto psicologico e sfruttando le circostanze del momento. Ad esempio in occasione del Black Friday si moltiplicano sul web finti siti di negozi anche famosi che offrono sconti allettanti ai consumatori col solo scopo di rubare dati bancari e svuotare i conti. Allo stesso modo quando si avvicinano le partenze degli italiani per le vacanze, aumentano le mail e i messaggi – che ora arrivano anche sui social – che propongono pacchetti o voli aerei a prezzi scontatissimi, ma il cui vero scopo è accedere ai numeri di carta di credito e conti correnti dei cittadini”. Truffe che sfruttano circostanze eccezionali, come quella attuale del caro-voli, per svuotare le tasche agli utenti. “Il nostro consiglio è di cestinare immediatamente qualsiasi messaggio o proposta contenente offerte a prezzi del tutto fuori mercato e poco credibili, acquistare biglietti e pacchetti solo presso operatori riconosciuti e, in caso di dubbi, fare riferimento al web per trovare esperienze e recensioni di altri cittadini che possono aiutarci a non cadere un trappola”. Conclude con un consiglio pratico, il presidente di Codacons: “Qualora ci si renda conto di essere incappati in una truffa, è bene contattare la propria banca o il gestore della carta per bloccare qualsiasi pagamento e modificare i codici di accesso, e presentare formale denuncia alla polizia postale”.
