In Breve (TL;DR)
- Per distinguere un messaggio autentico della banca da una truffa di phishing, verifica se richiede informazioni sensibili o denaro: le banche non chiedono mai credenziali o PIN via SMS.
- In caso di dubbio, evita di cliccare su link sospetti e contatta direttamente la banca o verifica sui canali ufficiali. Segnala eventuali truffe alla Polizia Postale per proteggere altri utenti.
In questo momento storico a tantissimi utenti capita di ricevere quello che sembra un semplice messaggio dalla banca, ma che, a ben vedere, è tutt’altro. Le finte comunicazioni dagli istituti di credito sono infatti uno dei più recenti “travestimenti” degli attacchi di phishing.
Il phishing è una tipologia di truffa online particolarmente pericolosa, che trasmette contenuti falsi per convincere la vittima a collaborare in maniera inconsapevole. Per fortuna però esistono diversi elementi da tenere in considerazione per tutelarsi.
A partire dalle norme di sicurezza informatica, fino ad arrivare ai contatti di emergenza, ecco alcuni consigli utili per capire se ci si trova di fronte a un vero messaggio dalla banca, o se invece ci sono gli estremi per pensare a una delle diverse forme del phishing.
-
1. Qual è lo scopo di un finto messaggio dalla banca?
Shutterstock
Prima di entrare nel merito di come distinguere un vero messaggio dalla banca da una truffa di phishing e, soprattutto, come tutelarsi in caso di attacco, è sicuramente utile spiegare quale sia la ragione dietro questo genere di comunicazioni.
Gli attacchi di phishing sfruttano generalmente le vulnerabilità dell’utente per convincerlo a fornire spontaneamente dati o informazioni sensibili. Buona parte della truffa sta nell’entrare in contatto con la vittima, facendole credere di stare ricevendo una comunicazione di tipo differente.
I truffatori fingono di essere gli istituti di credito delle loro vittime proprio per sfruttare l’autorevolezza di un mittente di questo genere. Per abbassare le difese di chi riceve il messaggio, sperando che sia maggiormente disposto a credere al falso contenuto.
Un’altra strategia del phishing consiste nello stimolare emozioni forti nella sua vittima: ad esempio comunicando situazioni gravi, che devono essere risolte nel minor tempo possibile. Ma anche puntando sull’effetto opposto, ad esempio annunciando grosse vincite che non vedono l’ora di essere riscattate.
-
2. Come distinguere un vero messaggio dalla banca da una truffa
Shutterstock
Non tutte le comunicazioni bancarie funzionano allo stesso modo, ma è comunque possibile dare delle indicazioni di massima utili a distinguere un messaggio reale da un potenziale attacco phishing.
Il primo elemento da tenere in considerazione è che al giorno d’oggi l’utente ha la possibilità di abilitare o meno la ricezione di notifiche di testo da parte della propria banca.
Dunque, nel caso in cui non sia stato dato il consenso a questa forma di comunicazione, è lecito supporre che quello che appare come un messaggio dalla banca sia in realtà una truffa.
A ciò si aggiungono alcuni dettagli circa il contenuto della comunicazione, che alzano sensibilmente il rischio di phishing. Ad esempio un vero messaggio dalla banca non chiederà mai all’utente di condividere informazioni personali: a partire dalle credenziali di accesso al conto corrente, fino ad arrivare a eventuali codici PIN.
Anche in questo caso è difficile garantire questo presupposto per il 100% delle banche, ma per togliersi ogni dubbio è sufficiente visionare la pagina dedicata alla politica di sicurezza o la privacy policy del proprio istituto: nella stragrande maggioranza dei casi apparirà una dicitura che spiega come la banca in questione non contatterà mai i suoi utenti per chiedere loro informazioni sensibili.
Lo stesso discorso vale per i messaggi testuali che richiedono esplicitamente un invio di denaro e per quelli che provano a mettere pressione all’utente giocando sul senso di urgenza: si pensi in tal senso a comunicazioni al limite del minatorio, che intimano a pagare un arretrato entro una data X per evitare di incappare in sanzioni.
Superati alcuni presupposti di partenza, è possibile entrare nel merito di consigli che restano validi a prescindere dalla singola comunicazione o dal singolo contenuto e che permettono di identificare potenziali operazioni di phishing.
I testi ricchi di errori grammaticali sono da considerarsi altamente sospetti e lo stesso vale per i messaggi in cui appaiono delle incongruenze tra oggetto, indirizzo email del mittente o sito a cui rimanda un collegamento ipertestuale.
Per questo motivo è sempre consigliabile non cliccare su questo genere di link o banner, andando invece a visitare esternamente il portale della propria banca e controllare in prima persona se il messaggio ricevuto trova riscontro su canali ufficiali e sicuri.
-
3. Cosa fare se si riceve un messaggio dalla banca e si pensa sia una truffa di phishing
Shutterstock
La prima cosa da fare se si riceve un messaggio sospetto consiste sicuramente nel contattare la propria banca: la soluzione più banale, ma anche più efficace per accertarsi sulla natura della comunicazione ricevuta.
Chiaramente, in caso di conferma da parte dell’istituto di credito, è possibile aprire il messaggio dalla banca e interagire secondo le indicazioni ricevute. In caso contrario, è consigliabile eliminare il messaggio evitando di aprirlo nuovamente.
In molti casi, gli attacchi di phishing e, più in generale, le truffe online sono innocue nel momento in cui l’utente sceglie di non condividere le informazioni richieste. Ma esistono anche occasioni in cui è sufficiente cliccare su un link per installare virus o malware sul proprio dispositivo in maniera del tutto inconsapevole.
Per questo è altamente consigliabile non cliccare sul link e, al massimo, farlo analizzare a uno strumento per il controllo della sicurezza degli URL: una funzionalità disponibile con alcuni anti malware e che, in alternativa, può essere fruita tramite siti come Google Safe Browsing.
Infine, una volta ricevuto un messaggio dalla banca che si conferma essere una potenziale attacco di phishing, sarebbe opportuno segnalare la truffa, sia al proprio istituto di credito che alla Polizia Postale: l’autorità preposta al contrasto dei crimini informatici, che dispone di una pagina web dedicata proprio alle segnalazioni online.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web