Pagine

lunedì 11 maggio 2020

COVID-19: come accedere agli aiuti finanziari evitando le truffe

COVID-19: come accedere agli aiuti finanziari evitando letruffe


Non tutti i siti sono a prova di frode via mail, anche in Italia. Proofpoint ha condotto un'analisi ad hoc e indicato alcuni utili consigli per ridurre il rischio di truffe

 

Per alleviare lo stress finanziario causato dalla pandemia COVID-19i governi di tutto il mondo hanno messo in atto misure volte a supportare finanziariamente aziende e singoli, per stimolare l'economia e a compensare coloro il cui reddito è stato in qualche modo ridotto o tagliato a causa della pandemia

Purtroppo, altrettanto rapidamente si sono mossi i malintenzionati. Mentre milioni di persone si registrano o cercano informazioni sulle misure di sostegno offerte dal governo, i cyber criminali sono in agguato, pronti a frodarle nel momento del bisogno. 

 

A oggi, Proofpoint ha registrato oltre 300 campagne a tema COVID-19. Con la durata della pandemia, che resta un'area di grande preoccupazione a livello mondiale, il volume complessivo delle esche utilizzate può solo continuare a crescere. I metodi di attacco sono i più svariati tra cui le campagne di email compromise per le aziende (BEC), il phishing delle credenziali, il malware e lo spam. E molti stanno avendo successo. 

 

In uno degli attacchi più sofisticati visti fino a oggi, in Germania, i truffatori si sono appropriati del sito web del Ministero dell'Economia della Renania Settentrionale-Vestfalia, utilizzandolo per raccogliere informazioni personali e fare richieste fraudolente di supporto da parte del governo. Si stima che questo attacco da solo sia costato al governo tedesco decine di milioni di euro. Quando la truffa è stata scoperta, gli aiuti hanno dovuto essere temporaneamente interrotti, causando problemi alle persone in difficoltà.  

 

I truffatori utilizzano regolarmente il metodo dello spoofing di dominio per spacciarsi da enti governativi o istituzioni note, come l'Organizzazione Mondiale della Sanità e approfittano delle debolezze dei protocolli di posta elettronica per inviare messaggi da un indirizzo apparentemente legittimorendendoquasi impossibile per un utente distinguere un mittente fasullo da uno reale. 

 

E in Italia? Proofpoint ha condotto un'analisi per verificare la presenza e il grado di implementazione del protocollo DMARC(Domain-based Message Authentication, Reporting & Conformance) da parte del sito dedicato al Fondo di Garanzia, del Ministero dello Sviluppo Economico e delle cinque banche che lo gestiscono sotto forma di Raggruppamento Temporaneo di Impresa. Da questi siti transitano infatti le richieste di finanziamento delle PMI e dei professionisti, in particolar modo in questo momento di emergenza Covid. Insieme a questi siti, è stato analizzato anche il sito web dell'Inps, che segue altre categorie di lavoratori, autonomi e dipendenti.

 

Il DMARC è l'equivalente di un controllo avanzato dei documenti nel mondo della email security. Si tratta di un protocollo di autenticazione che nella sostanza verifica che i messaggi che sembrano arrivare da un determinato dominio provengano davvero da quel dominio, e non invece da cybercriminali sotto mentite spoglie.

 

L'analisi condotta da Proofpoint ha messo in luce come solo 2 dei 7 siti presi in esame abbia di fatto adottato il protocollo DMARC. Anche i due che l'hanno adottato però non utilizzano il livello ideale di protezione, quello che permette di rifiutare automaticamente i messaggi sospetti. Questo significa che per tutti i siti analizzati gli utenti restano a potenziale rischio di frode via mail.

 

"L'email è ormai il canale di attacco preferito da parte dei criminali, che si rivolgono direttamente agli utenti finali per trarli in inganno, presentandosi come enti o organizzazioni affidabili", spiega Luca Maiocchi, country manager di Proofpoint per l'Italia. "In un momento come questo, in cui gran parte del lavoro e della vita sociale si svolgono a distanza, proteggere questo canale in modo adeguato è fondamentale. Il protocollo DMARC è uno strumento estremamente utile, perché di fatto certifica che chi ci scrive sia davvero chi dice di essere, e per questo dovrebbe essere sempre più adottato, da aziende e organizzazioni."

 

I criminali informatici approfitteranno sempre di eventi importanti di crisi per perpetrare attacchi mirati utilizzando tecniche di ingegneria sociale come il furto di identità e i siti delle istituzioni e quelli di servizio pubblico non fanno eccezione, anzi, stanno diventando un bersaglio primario per gli attacchi.

 

Come accedere ai finanziamenti ed evitare le truffe

Le truffe legate a COVID-19 possono essere nuove, ma i metodi non lo sono. Gli utenti devono stare attenti e adottare misure di sicurezza di base

• Rivolgersi solo a fonti ufficiali. Dove possibile, raggiungere i siti web digitando attentamente l'indirizzo nel browser. 
• Diffidate di qualsiasi comunicazione che vi chieda di fornire informazioni personali o dettagli finanziari. Chiedete consiglio a una fonte affidabile se non siete sicuri.
• Ignorate tutte le sollecitazioni inaspettate tramite e-mail, telefono, SMS o social network. Gli enti governativi non chiederanno informazioni altamente sensibili attraverso questi canali. 
• Evitate di cliccare su link sconosciuti, anche da mittenti che appaiono ufficiali. Se le informazioni contenute in un'e-mail appaiono legittime, confermatele con una fonte ufficiale. 
• Tenete d'occhio gli errori ortografici e grammaticali. Se un'e-mail o una lettera dall'aspetto ufficiale include errori di ortografia, è improbabile che sia legittima. 
• La pressione del tempo è un campanello d'allarme. Le banche e gli enti governativi non vi faranno mai fretta.
• Limitate i potenziali danni causati dal furto di credenziali utilizzando password uniche per i singoli servizi. Utilizzate un gestore di password per semplificare questo processo. 

 

Come sempre, la consapevolezza è la chiave per difendersi dalle truffe informatiche. Più si capiscono i metodi e le motivazioni degli attacchi, meno probabilità ci sono di diventare vittime. 

 



--
www.CorrieredelWeb.it

Nessun commento:

Posta un commento