I truffatori stanno diventando così bravi da ingannare perfino gli esperti di sicurezza informatica. Nel 2018 uno di noi (Oliver Buckley) ha ricevuto un’email dal vicerettore della sua università. “Ci siamo, ho pensato: finalmente il riconoscimento che merito”, racconta Buckley. “Ma c’era qualcosa di strano. Perché il vicerettore usava il suo indirizzo Gmail? Gli ho chiesto un incontro. Lui ha risposto che dovevo comprargli delle gift card iTunes per un valore di ottocento sterline, grattare sul retro e mandargli il codice. Per non deluderlo ho proposto di prestargli le cinque sterline che avevo nel portafoglio. Non ho più avuto sue notizie”.

Le famigerate email del “principe nigeriano” sono ormai fuori moda. I truffatori setacciano i social network, soprattutto quelli professionali come LinkedIn, e analizzano per esempio i rapporti tra due persone basandosi su post e commenti reciproci, per poi prendere di mira i prescelti con messaggi personalizzati. Nel primo trimestre del 2022 il 52 per cento del phishing mondiale (truffe in rete per ottenere dati o soldi) è passato per LinkedIn.

Gli psicologi che studiano l’obbedienza all’autorità sanno che è più probabile rispondere alle richieste di chi occupa posizioni di vertice nelle gerarchie sociali e professionali. Ovviamente lo sanno anche i truffatori, che s’informano sulle gerarchie aziendali. Ecco il testo di un messaggio tipico: “Sono al convegno e ho finito il credito telefonico. Puoi chiedere a X di mandarmi il rapporto Y?”.

Dai dati di Google safe browsing, un servizio di protezione degli utenti, sappiamo che i siti di phishing sono quasi settantacinque volte più di quelli di malware (programmi informatici che disturbano le operazioni degli utenti). Quasi il 20 per cento dei dipendenti clicca sui link delle email truffa e, di questi, un impressionante 68 per cento comunica i propri dati.

Le truffe tramite email costano alle aziende di tutto il mondo circa venti miliardi di dollari all’anno. Secondo la rete internazionale di revisione e consulenza aziendale Bdo, nel 2020 nel Regno Unito sei imprese su dieci sono state vittime di frodi, perdendo in media 245mila sterline.

I truffatori usano gli spambot per raccogliere indirizzi email e poi, grazie alle informazioni ottenute su LinkedIn e altri social network, cercano di conquistare la fiducia delle vittime per convincerle a fornire dati o soldi. Il fenomeno si è diffuso negli ultimi tre anni grazie ai chatbot, soft­ware che favoriscono l’interazione simulando conversazioni umane. Tra gli esempi più recenti di truffe tramite chatbot ci sono quelle alla Royal Mail, alla Dhl e a Facebook Messenger. Sfortunatamente, molte aziende informatiche offrono servizi per creare chatbot.

I social network aiutano i truffatori – che dispongono di varie soluzioni tecniche per nascondere la loro identità, tra cui reti di comunicazione anonime e falsi indirizzi Ip – a confezionare email credibili chiamate spear phishing, cioè un phishing mirato, perché i dati che condividiamo ogni giorno possono essere usati contro di noi. Può bastare anche solo conoscere un posto che abbiamo visitato di recente. A differenza del phishing tradizionale, che punta sui grandi numeri, questo approccio sfrutta la nostra tendenza a dare importanza alle informazioni personali.

Se siete tentati di rispondere ai truffatori per le rime, non fatelo. La conferma che l’indirizzo è in uso può rendervi il bersaglio di truffe future. Un modo semplice per evitare di essere ingannati è verificare con cura i dettagli del mittente e l’intestazione dell’email. Ma la cosa più importante è fare attenzione ai dati che condividiamo. La regola d’oro è: se non vuoi che si sappia, non metterlo online. ◆ sdf