Una nuova minaccia per l’identità digitale di ognuno di noi.
Dal Mondo – Il Sistema Pubblico di Identità Digitale ormai conosciuto maggiormente dalla popolazione con l’abbreviazione “SPID” questo servizio è divenuto ad oggi uno strumento essenziale per mille attività al fine di poter accedere da remoto ai servizi pubblici e privati in Italia. Con questa enorme diffusione e importanza, esso è rientrato tra gli obiettivi di interesse principale dei criminali informatici.
Costituisce una delle truffe più evolute e pericolose quella del “doppio SPID”, ossia un’attività criminosa che permette ai pirati informatici di duplicare l’identità digitale delle vittime ignare della situazione criminosa. In questo articolo, si intende analizzare le varie strategie usate dai cybercriminali nel dettaglio:
In primis andiamo a capire in cosa consiste la Truffa del Doppio SPID
Questa truffa si basa su molteplici attività tra cui l’invio di messaggi ingannevoli (via email, SMS o telefonate) che invitano l’utente a creare un secondo SPID per motivi falsi, come:
– Aggiornamenti sulla sicurezza del dispositivo;
– Problemi di natura tecnica di un account;
– Richieste preavviso sospensione del servizio.
In maniera pratica, il criminale ha come intento quello a rubare le credenziali SPID della vittima per poi accedere ai suoi dati personali, al fine di commettere dei reati a nome della vittima.
Vediamo adesso i vari passaggi che i criminali seguono per poter carpire le credenziali SPID
1. Fase iniziale: I criminali informatici utilizzano diverse tecniche di phishing che come ben sappiamo oggi si hanno più varianti di questa tecnica, infatti abbiamo:
– La variante SMS chiamata Smishing dove i criminali inviano un testo sms dove scrivono ad esempio: “Si comunica che il tuo SPID è stato bloccato. Cliccare sul link per evitare lo sblocco.”
– La variante mediante invio di Email, dove il testo riportando loghi delle istituzioni per rendere convincente la comunicazione invita a il sito mediante il link presente nel testo della Email per consentire ai pirati informatici di acquisire gli accessi delle povere vittime.
– La variante telefonica conosciuta come Vishing, con la quale il cybercriminale chiama la vittima dicendo di essere operatore addetto alla sicurezza di un gestore SPID, invitando a fornire le credenziali e altri dati sensibili.
2. Sito fake: Bisogna essere molto Vigili! Mediante l’uso di una di queste tecniche si viene ad essere riportati su un sito in questo caso Falso! Dove il criminale sfruttando loghi e sembianze dell’Provider (es. PosteID, Aruba, Sielte, lepida, Namirial e moltissimi altri), che ha rilasciato il servizio di identità digitale chiede mediante una procedura che viene ad essere visualizzata:
– L’Inserimento delle credenziali della vostra identità digitale;
– Confermare mediante il codice OTP (One-Time Password) ricevuto con un sms sul vostro smartphone;
– Fornire ulteriori dati personali mediante il caricamento come allegati: tessera sanitaria, carta di identità, patente, passaporto ecc.
3. Identità rubata: una volta acquisite le credenziali Spid, il criminale ha la possibilità di:
– Entrare nell’area personale sui siti dei servizi pubblici on line quali: INPS, Agenzia delle Entrate;
– Richiedere bonus o rimborsi a nome della vittima su coordinate bancarie diverse da quelle reali, dopo averle certificate sul sito dell’Agenzia delle Entrate;
– Effettuare acquisti online collegati a portali con SPID quali firma digitale ed altri servizi di identità digitale.
– Stipulare contratti o finanziamenti a nome della vittima.
Adesso prestiamo molta attenzione in quanto andremo a vedere come sia possibile riconoscere la Truffa in questione:
– Messaggi non richiesti: ogni provider tranne per comunicazioni di avvenuto accesso, non invia richiesta di dati sensibili ai suoi utenti;
– Link sospetti: se presentano errori grossolani cancellateli immediatamente, non sono inviati dal vostro provider pertanto solo tentativi di truffa;
– una eventuale richiesta di codici OTP non richiesti da voi personalmente può solamente significare che vi è in atto un tentativo di truffa;
Le possibili Conseguenze per le malcapitate vittime sono purtroppo numerose:
Furto d’identità: i criminali come già detto possono aprire conti, richiedere prestiti e svolgere molte altre attività ai danni delle vittime;
Danno economico: un eventuale servizio spid collegato al proprio conto corrente, permetterebbe ai criminali di effettuare delle operazioni che vengono ad essere autorizzate mediante lo SPID.;
Sospensione del servizio SPID: il provider nel rilevare attività sospette procede a sospendere l’account per questioni di sicurezza.
Di seguito andremo ad illustrare dei semplici consigli per prevenire e contrastare questa tipologia di truffa:
– Un concetto da fissare bene in mente è quello di essere consapevoli che la vostra identità digitale è un servizio strettamente personale fornito da un provider come le sue credenziali, i codici OTP generati dall’app dedicata e tutti i vostri documenti personali.
– Analizzare sempre il mittente di una comunicazione email o il numero di un SMS ricevuti.
– non cliccare mai su link sospetti ma andare solo sul sito ufficiale per accedere ai servizi.
– L’autenticazione a due fattori (2FA) consente di rendere più sicura l’accesso al servizio, aumentando il livello di difesa da potenziali accessi indesiderati.
Nel caso in cui vi rendiate conto di essere vittime invece:
– Contattare immediatamente il proprio provider per bloccare le vostre credenziali;
– Allertare la banca e tutti i vostri gestori di servizi on line circa la situazione in modo da bloccare gli accessi;
– Sporgere denuncia presso le autorità competente per tutelarvi da ogni attività illecita;
– Chiedere alla banca di verificare movimenti ed attività dei vostri conti corrente e servizi ad essi associati.
Conclusioni
La truffa del doppio SPID è un’ulteriore dimostrazione di come si sta sempre più evolvendo il crimine on line, oltre all’identità digitale la stessa truffa può essere effettuata con la firma digitale remota, pertanto, vi è la necessità di usare un grande senso critico in ogni cosa che ci riguarda nel momento in cui una cosa non ci torna, anche a costo di sembrare complicati ed estremamente diffidenti, quindi verificate attentamente chi vi scrive e cosa vi sta chiedendo, ricordate che prevenire e sempre meglio che curare, il crimine informatico ha mille forme e mira sfruttare la poca conoscenza di questa tipologia di reati da parte delle vittime, la conoscenza si dimostra un’arma utile per contrastare questo genere di truffe, chiedete aiuto nel caso in cui pensiate di essere davanti ad un caso di reato simile rivolgendovi alle forze dell’ordine, navigare con buon senso nella rete evita molti pericoli.
Foto di Mikhail Nilov: https://www.pexels.com/it-it/foto/persona-digitando-seduto-varano-6963061/
