di Giorgio Cortese
Con la moltiplicazione dei computer, degli smartphone e dei servizi online, si sono moltiplicati anche i modi per ingannare le persone. E, come spesso accade, più crescono le tecniche, più cresce il vocabolario per descriverle. Dietro parole che possono sembrare oscure o tecniche si nascondono meccanismi molto semplici, basati quasi sempre su fiducia, urgenza e distrazione.
Il metodo più diffuso resta il phishing, termine che richiama l’idea della “pesca”: email che sembrano provenire da banche, corrieri, servizi di pagamento o enti pubblici e che invitano a cliccare su un link o ad aprire un allegato. L’obiettivo è rubare credenziali, dati personali o denaro, oppure installare software malevoli sul dispositivo della vittima. Da questa tecnica “classica” deriva lo spear phishing, una versione più raffinata e personalizzata: il messaggio è costruito su misura, usando informazioni raccolte sui social o da precedenti violazioni, così da apparire credibile e mirato.
Quando la truffa passa dagli Sms o dalle app di messaggistica come WhatsApp si parla di smishing. Il messaggio annuncia un pacco bloccato, un pagamento urgente o un problema con il conto corrente e rimanda a un link che promette una soluzione immediata. Se invece il contatto avviene tramite una telefonata, spesso concitata e carica di urgenza, si entra nel campo del vishing: qualcuno si finge un operatore bancario o un tecnico e spinge la vittima ad agire in fretta, prima che abbia il tempo di riflettere.
Alla base di molte truffe c’è lo spoofing, cioè la falsificazione dell’identità del mittente. Il numero di telefono o l’indirizzo email sembrano autentici, magari identici a quelli ufficiali con una sola lettera diversa, oppure gli Sms finiscono nella stessa conversazione di quelli reali della banca. Lo spoofing è usato anche sui siti web, che imitano perfettamente l’aspetto di quelli originali. In ambito aziendale questa tecnica è centrale nel cosiddetto business email compromise, in cui si simulano comunicazioni interne, o si viola davvero la casella di un dipendente, per dirottare pagamenti o ottenere informazioni sensibili.
Alcuni attacchi sono ancora più sofisticati. Negli attacchi man-in-the-middle, letteralmente “uomo nel mezzo”, il truffatore si inserisce nelle comunicazioni tra due soggetti, intercettando o modificando i messaggi. Può accadere, per esempio, tramite reti wi fi fasulle in luoghi pubblici o attraverso malware installati sul dispositivo, capaci di osservare la navigazione web, le email e l’attività sui social. A rendere tutto più inquietante c’è l’uso dei deepfake: audio e video generati con l’intelligenza artificiale che imitano voce e volto di persone reali, oggi utilizzati anche in truffe in tempo reale.
Un’altra tecnica molto pericolosa è il sim swap. Dopo aver raccolto informazioni sulla vittima, il criminale convince l’operatore telefonico a trasferire il numero su una nuova Sim in suo possesso, spesso dichiarando una falsa perdita della scheda. Il telefono della vittima smette di funzionare e il truffatore riceve i codici di accesso necessari per entrare nell’home banking o in altri servizi protetti.
In fondo, dietro questo glossario tecnologico si nasconde sempre la stessa verità: le truffe non colpiscono i computer, ma le persone. Sfruttano la fretta, la paura di sbagliare, il desiderio di risolvere subito un problema. Conoscere i nomi e i meccanismi di queste tecniche non è solo un esercizio di difesa digitale, ma un atto di consapevolezza. Perché in un mondo sempre più connesso, la prima sicurezza non è un software, ma il tempo che ci concediamo per dubitare, fermarci e pensare.
