JÁMBOR TÓTH KOLLÁTH Ügyvédi Iroda

Esistono innumerevoli tipi di truffe, ma riteniamo che sia della massima importanza sensibilizzare l'opinione pubblica sui diversi tipi di inganno nel cyberspazio e sui potenziali pericoli che essi comportano. In questo articolo ci concentreremo sulle frodi informatiche, utilizzando il loro termine generico: phishing.

PHISHING - COS'È?

Il phishing è una forma di frode online che mira a rubare informazioni sensibili a un bersaglio, come password o dati bancari (i più comuni sono quelli del conto corrente e della carta di credito), che di solito sono destinati a essere utilizzati dal phisher per vendere beni.

Con lo sviluppo della tecnologia informatica, il phishing ha assunto molte forme . Ogni tipo può essere distinto dagli altri per diverse caratteristiche, come ad esempio l'oggetto dell'attacco, la richiesta di informazioni da parte dell'aspirante vittima e il modo in cui viene effettuato. L'identificazione di queste tipologie in base alle loro diverse caratteristiche è di fondamentale importanza per un'adeguata protezione.

TIPI DI PHISHING - A COSA PRESTARE ATTENZIONE?

Il tipo più comune e uno dei più riconoscibili è il phishing via e-mail. In termini di storia, esiste dagli anni '90 e può essere considerato la prima manifestazione del phishing. Quando si parla di phishing via e-mail, l 'attacco assume la forma di un'e-mail indirizzata al destinatario, in cui i dati personali di quest'ultimo vengono in qualche modo ottenuti dal truffatore. Il contenuto è difficile da classificare, poiché il soggetto e l'oggetto della richiesta non autorizzata di dati personali è diverso per ogni e-mail, non ci sono due e-mail uguali. È frequente che l'e-mail informi la persona presa di mira che un account associato al suo indirizzo e-mail è stato compromesso e che deve intraprendere azioni urgenti per recuperare l'account. Una caratteristica notevole di questo tipo di phishing è che l'e-mail fraudolenta può contenere un link che, una volta cliccato, reindirizza l'utente a un altro sito web, a volte ingannevolmente ben progettato, a volte dall'aspetto sospettosamente strano, che lo obbliga a fornire i propri dati. La formulazione di questo tipo può non essere così sofisticata. Le frasi sono piene di errori grammaticali, come l'uso scorretto delle virgole o la mancanza del punto e virgola. Inoltre, la formulazione linguistica della lettera non riflette necessariamente la lingua ungherese, ma assomiglia piuttosto a un'altra lingua che è stata tradotta in modo approssimativo in ungherese tramite una traduzione a specchio.

Un altro tipo di phishing degno di nota è lo spear phishing. Di solito non vengono presi di mira singoli individui, ma gruppi di persone e organizzazioni che gestiscono processi finanziari di piccole o grandi dimensioni, o addirittura dirigenti responsabili di tali processi. Le aziende, le banche e le ONG sono di solito tra i principali bersagli delle molestie, ed è quindi della massima importanza che queste organizzazioni siano attente a tali attacchi. Un'altra tattica comune è quella degli attacchi impersonali: gli operatori di phishing raccolgono in anticipo informazioni personali sull'obiettivo, principalmente relative alla vita privata della vittima, e le utilizzano per ricattarla. Il ricatto è più spesso diretto a una persona di alto livello in un'azienda e può essere minaccioso, manipolativo o fuorviante.

Il whaling è una versione migliorata delle suddette molestie. Come suggerisce il nome, i bersagli principali sono le “grandi balene”, metaforicamente parlando, persone che hanno una particolare e grande influenza. Di solito si tratta di amministratori delegati di multinazionali e celebrità, ma nel tempo il target si è allargato fino a includere politici, inventori, influencer e modelle. La metodologia non è diversa: i balenieri utilizzano le stesse tecniche di impersonificazione e ricatto. Tuttavia, la forma dell'attacco è progettata per attirare il più possibile l'attenzione dell'obiettivo, dato che queste persone filtrano attentamente le e-mail e i messaggi a loro indirizzati. Potrebbe trattarsi di una citazione in tribunale, ad esempio, o addirittura di un ordine falsificato di liquidazione dell'azienda della persona. Gli attacchi legali sono particolarmente comuni nel caso della caccia alle balene, poiché psicologicamente una questione legale è il modo migliore per attirare l'attenzione di questi alti dirigenti.

Il prossimo tipo da menzionare è quello degli attacchi basati sulla voce o frode telefonica (“vishing”: una combinazione di “phising” e “voce” come suono). L'obiettivo è invariabilmente quello di estrarre dati personali o sensibili, ma ciò avviene nel corso di una telefonata. L'obiettivo principale del truffatoreè quello di ingannare la vittima nel modo più efficace possibile: in ogni caso, mente sulla sua vera identità. In ogni caso, cerca di convincere l'obiettivo che è nel suo interesse rivelare volontariamente dati importanti. Spesso si presenta come un amministratore che, dopo alcune ricerche preliminari, risulta appartenere proprio all'ente (ad esempio, banca, società di telecomunicazioni, operatore di telefonia mobile) il cui cliente è la vittima. Può chiamare la banca, mentendo sul fatto che le coordinate bancarie del cliente sono state rese pubbliche e, per evitare ulteriori fughe di dati, fornire ulteriori dettagli per risolvere la sospetta frode. L'obiettivo può ricevere una telefonata da un numero che è stato criptato dal chiamante a causa dell'autenticità e della gravità della situazione, e poi il chiamante minaccia l'inconsapevole vittima di liberare il suo o i suoi parenti rapiti in cambio di un'ingente somma di denaro. Le vittime di queste chiamate sono solitamente persone anziane, in quanto la loro generazione è la più esposta alle nuove sfide portate dallo sviluppo della tecnologia e la più emotivamente instabile, secondo i truffatori, soprattutto quando si tratta dei loro familiari. La crittografia dell'ID chiamante ha anche lo scopo di rendere impossibile rintracciare il phisher, indipendentemente dal successo o dal fallimento del suo tentativo, evitando così di essere perseguito e scoperto. Naturalmente le tecniche spiegate in precedenza, come la manipolazione psicologica e il ricatto emotivo, sono ugualmente presenti, ma esistono anche metodi specifici che rientrano in questo tipo di frode. Ad esempio, lo spoofing, che è un modo perfetto per copiare il numero di telefono di un'istituzione, che è elencato altrove, aumentando così la sua credibilità. Il wardialing è la possibilità di accedere a un gran numero di numeri contemporaneamente attraverso la composizione automatica. Le truffe telefoniche sono già presenti su alcune piattaforme indipendenti, come WhatsApp e Viber . Quando ci si iscrive a queste piattaforme, è importante tenere presente che il proprio numero di telefono potrebbe essere a disposizione di chiunque, poiché è memorizzato nel database della piattaforma e potrebbe cadere nelle mani di hacker esperti in caso di una grave fuga di dati.

Lo smishing, o phishing basato su SMS, è un tipo di frode che assume la forma di messaggi di testo tra il phisher e il proprietario dei dati. Il nome è una combinazione delle parole “phishing” e SMS. È essenzialmente identico al phishing via e-mail, l'unica differenza tra i due tipi di phishing è l'interfaccia. I truffatori spesso sfruttano servizi che di solito notificano gli utenti tramite SMS o comunicano con loro tramite messaggi di testo. Ad esempio, l'invio di un messaggio di conferma di un ordine online, la notifica del vincitore di un'estrazione a premi tramite SMS o persino un messaggio contenente un link di conferma per la registrazione di un account.

SOLUZIONI LEGALI - COSA POSSIAMO FARE, CHI POSSIAMO CONTATTARE?

Prima di passare ai rimedi per il phishing, è importante chiarire quali sono le leggi attualmente in vigore in Ungheria.

Il trattamento del phishing come reato penale si basa principalmente sulle disposizioni del Codice penale (Legge C del 2012, Btk.) . Secondo l'articolo 375 del Codicepenale, “chiunque, a scopo di lucro illecito, inserisca dati in un sistema informatico, alteri, cancelli o renda inaccessibili i dati ivi trattati, o interferisca con il funzionamento del sistema informatico eseguendo qualsiasi altra operazione, e in tal modo arrechi un danno, è punito per il reato con la reclusione fino a tre anni”.

Tra i reati contro il sistema informatico, il Codice penale. L'articolo 423 del Codice Penale disciplina la frode commessa utilizzando un sistema informatico: “chiunque si introduce in un sistema informatico senza autorizzazione violando o eludendo le misure tecniche di protezione del sistema informatico o si trattiene nel sistema informatico oltre i limiti della propria autorizzazione di accesso o in violazione della stessa, è punito con la reclusione fino a due anni”. Inoltre, l'articolo 219 punisce l'uso improprio dei dati personali, applicabile anche agli attacchi di phishing.

Anche il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea è rilevante nel contesto della legislazione sulla protezione dei dati, che stabilisce requisiti rigorosi per i responsabili e gli incaricati del trattamento dei dati. La disposizione che ci interessa in relazione al phishing è l'articolo 32, paragrafo 1, che stabilisce gli obblighi di sicurezza dei responsabili del trattamento e degli incaricati del trattamento: “Il responsabile del trattamento e l'incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

Ciò significa che le aziende devono mettere in atto misure di salvaguardia adeguate per prevenire gli attacchi di phishing e, se non lo fanno, potrebbero incorrere in pesanti multe e altre sanzioni.

Alla luce di queste disposizioni di legge, possiamo ora esaminare le opzioni e gli strumenti legali che possono essere utilizzati per porre rimedio ai problemi posti dal phishing:

Denunciare immediatamente la frode. Se qualcuno è vittima di phishing, il caso deve essere immediatamente denunciato alle autorità. In Ungheria, l'Istituto nazionale per la criminalità informatica (NKI) si occupa dei casi di criminalità informatica, mentre la polizia può essere contattata presso la stazione di polizia locale.

Se i dati bancari sono stati compromessi, è necessario contattare immediatamente la banca o l'istituto finanziario interessato. La maggior parte delle banche offre la possibilità di bloccare temporaneamente la carta o il conto per minimizzare ulteriori danni.

Se non sono già state prese misure di sicurezza , è necessario adottare immediatamente queste misure. La modifica immediata delle password dei conti interessati , l' attivazione dell'autenticazione a due fattori (2FA) e la scansione dei dispositivi per la sicurezza e l'antivirus possono essere misure essenziali per mitigare i danni. Queste misure dovrebbero essere adottate anche se non si sono già verificati danni, in quanto possono potenzialmente servire come misura preventiva.

Le vittime possono anche perseguire le loro richieste di risarcimento attraverso un'azione civile. Se la frode ha causato una perdita finanziaria, è possibile richiedere un risarcimento all'autore della frode, se è possibile identificarlo. In alcuni casi, anche i fornitori di servizi coinvolti in un attacco di phishing possono essere responsabili se non hanno garantito misure di protezione adeguate.

Esiste anche la possibilità di coinvolgere diverse autorità ed esperti. Le violazioni dei dati possono essere indagate dall'Autorità nazionale per la protezione dei dati e la libertà d'informazione (NAIH), che può essere contattata con un reclamo se i nostri dati personali sono caduti in mani non autorizzate. Inoltre, l'assistenza di un professionista esperto di sicurezza informatica o di un avvocato può aiutare a gestire la situazione.

Il nostro studio legale si occupa regolarmente di casi in cui persone in buona fede sono state vittime di frodi di phishing. I nostri giovani e talentuosi avvocati forniscono assistenza e consulenza esperta su questioni di diritto della protezione dei dati e soluzioni legali agli attacchi informatici. Se siete stati danneggiati dal phishing, non esitate a contattare i nostri avvocati esperti che saranno lieti di assistervi nel perseguire un'azione legale efficace.

APPROFONDIMENTO - PHISHING SU VINTED

Il phishing non riguarda solo i servizi bancari o i social media, ma si verifica sempre più spesso anche sui mercati online. Un obiettivo recente è Vinted, che è particolarmente attraente per i truffatori a causa della sua popolarità.

Vinted è un mercato online sempre più popolare, dove i privati possono vendere e acquistare vestiti, scarpe e accessori. Recentemente, tuttavia, un numero crescente di utenti ha riferito di essere stato vittima di truffe di phishing sulla piattaforma. I truffatori hanno utilizzato metodi sofisticati per ottenere i dati personali e bancari degli ignari utenti, spesso inviando link di pagamento falsi o messaggi che sembrano ufficiali per indurli a fornire i loro dati.

Uno dei metodi più comuni consiste nell'inviare al venditore un messaggio in cui si afferma che il prezzo di acquisto è già stato pagato, ma che è necessario fornire le proprie coordinate bancarie su un sito esterno per sbloccare i fondi. In altri casi, gli acquirenti vengono ingannati perché indirizzati a un falso sito Vinted dove devono salvare i dati della carta di credito per effettuare il presunto pagamento. Questi siti sono spesso copie perfette della piattaforma ufficiale, rendendo difficile individuare la truffa a prima vista.

Per evitare truffe simili, è opportuno seguire alcune precauzioni di base , già illustrate nei paragrafi precedenti:

1. Effettuate pagamenti e comunicazioni solo all'interno della piattaforma ufficiale di Vinted. Se qualcuno vi invia un link esterno per effettuare un pagamento, è probabile che si tratti di una frode.

2. Controllate l'URL. I siti falsi spesso presentano una piccola discrepanza nell'indirizzo (ad esempio “vinted-secure.com” invece del sito ufficiale “vinted.com”).

3 . Vinted non chiede mai questi dati agli utenti.

4. Fate attenzione alle offerte sospettosamente economiche. Se qualcuno cerca di acquistare troppo velocemente o offre un prezzo irrealisticamente alto per un prodotto, diffidate.

FINALE

Il phishing è una delle minacce online più pervasive e pericolose del mondo moderno, in continua evoluzione e con metodi sempre più sofisticati per colpire utenti ignari. La consapevolezza e il rispetto delle misure di sicurezza informatica di base sono essenziali per evitare queste trappole.

Che si tratti di e-mail, telefono o altri tipi di phishing, la migliore difesa è sempre la prevenzione. Ignorare i messaggi sospetti provenienti da mittenti sconosciuti, proteggere la propria identità e i propri dati bancari e utilizzare l'autenticazione a due fattori possono ridurre notevolmente i rischi. Inoltre, se siete vittime, non esitate a denunciare immediatamente l'accaduto alle autorità e ai fornitori di servizi coinvolti, o a intraprendere un'azione legale.

La tutela legale è fondamentale nella lotta al phishing. Se vi sentite vittime, non esitate a chiedere assistenza legale. Il nostro studio legale vi aiuterà in ogni momento a tutelare i vostri diritti e a ottenere il risarcimento che meritate.

In un mondo digitalizzato, la sicurezza informatica non è più solo una questione tecnica, ma una responsabilità condivisa. Con un po' di attenzione e cautela, possiamo dare un grande contributo alla protezione dei nostri dati e di quelli degli altri. 

L'autore: Csanád Répássy