Acquisti online sicuri: non cadere nella trappola dei truffatori

L'ondata di e-mail di phishing, attacchi di hacker e attività di social engineering non accenna a diminuire. Ciò che faceva stato un anno fa, quando questo articolo è stato pubblicato per la prima volta, è valido ancora oggi. Non passa quasi settimana senza che i media riferiscano di una nuova truffa. È anche chiaro che gli hacker più sfrontati sono più attivi quando le vendite sono al massimo, soprattutto nei mesi intorno a Natale. Tra le vittime vi è anche la clientela Galaxus.

Un buon motivo per riproporre alla Community i consigli e i suggerimenti del nostro esperto di sicurezza informatica Martin Wrona per evitare brutte sorprese durante gli acquisti. Se ricevi una strana e-mail, prenditi il tempo e analizzala con occhio critico.

Martin, quali sono le truffe di cui la clientela di Galaxus e Digitec è attualmente vittima? I truffatori in rete sono creativi e tentano di carpire i dati della clientela con ogni mezzo. Le cosiddette e-mail di phishing, che ognuno di noi trova ogni giorno nella propria casella di posta elettronica, sono attualmente molto diffuse. Ad esempio, l'avviso che l'abbonamento a Netflix deve essere rinnovato o che la dogana non può rilasciare il pacco finché non vengono pagati i dazi doganali dovuti. Chiunque sia disattento può cadere nella rete dei «data phisher» e rivelare i propri dati.

Come faccio, da profano, a riconoscere un'e-mail di phishing? In molti casi ci sono indicazioni chiare. Tuttavia, ho notato che le e-mail con mittenti falsi stanno diventando sempre più perfide. Alcuni criminali informatici sono dei veri e propri artisti: la loro posta elettronica tossica è riconoscibile solo se la esamini attentamente.

A cosa devo prestare attenzione? Ti consiglio di porti le seguenti domande per tutte le e-mail che ricevi. La prima: conosco il mittente? Se la risposta è no, sposta l'e-mail non aperta nel cestino. La seconda: ci sono errori di battitura, scritte strane o qualcosa di sbagliato nel logo aziendale del mittente? Se sì, cancella l'e-mail. La terza: vengono esercitate pressioni, ad esempio minacciando di annullare un contratto in corso? Se la risposta è si, allora elimina il messaggio di posta elettronica. La quarta: il mittente nasconde il proprio indirizzo e-mail? Passando con il cursore del mouse sopra il mittente visibile o cliccandoci sopra, vedrai l'indirizzo effettivo del mittente. Se c'è qualcosa di strano, è meglio spostare il messaggio nel cestino. Importante: non aprire gli allegati e non cliccare sui link contenuti nell'e-mail.

Come posso proteggere il mio conto cliente Galaxus e/o Digitec da accessi non autorizzati? Esistono diversi modi per aumentare in modo significativo la sicurezza dei propri account. Il consiglio più importante è di assicurarsi di utilizzare una password unica di lunghezza e complessità sufficienti. Per il login si consiglia una password di almeno dieci caratteri con caratteri speciali e lettere maiuscole e minuscole. Dodici o più caratteri sarebbero ancora meglio. E quando dico «unica», significa che la password deve essere usata veramente una sola volta. Chiunque utilizzi la stessa combinazione di login e password per l'e-banking, per acquistare gli pneumatici dal rivenditore e per fare un ordine dal fruttivendolo si espone a un rischio inutile di frode.

Anche se la password ha dodici o più caratteri e combina correttamente lettere maiuscole e minuscole, numeri e segni di punteggiatura? Questo non importa. È proprio grazie alle combinazioni di login e password spesso identiche che i truffatori hanno gioco facile. Le password vengono ottenute tramite e-mail di phishing o malware come virus e trojan. Ad esempio, potresti ricevere un'e-mail con il logo Digitec o Galaxus che dice: «Il tuo ordine è pronto, clicca qui per ritirarlo». Facendo clic accedi a una nuova pagina del presunto fornitore, di solito ben copiata. Se poi riveli i dati di accesso, spesso appare la scritta «Login e password non corretti». In background, tuttavia, i dati vengono memorizzati dai criminali.

E come vengono messe in circolazione queste combinazioni di password di accesso? I criminali vendono su internet elenchi di combinazioni di password così ottenute a truffatori che cercano di accedere ai negozi online più utilizzati. Pertanto, chi utilizza più volte le stesse combinazioni di password di accesso è quindi particolarmente vulnerabile alle frodi in rete.

E che dire del secondo livello di sicurezza, tipo l'autenticazione a due fattori, come quella dei fornitori di servizi finanziari? Noi consigliamo la cosiddetta autenticazione a due fattori (2FA), che utilizziamo per ottenere una conferma tramite telefono cellulare ogni volta che si accede al proprio account. Ad esempio, quando si accede per la prima volta con il nuovo notebook. Informiamo la nostra clientela dell'opzione 2FA con articoli editoriali e dopo ogni ordine. Se vi è la possibilità, consigliamo di attivare l'autenticazione a due fattori anche per altri account, come quelli dei provider di posta elettronica.

Perché Galaxus e Digitec non richiedono la 2FA come standard? In altre parole, perché la misura di sicurezza è facoltativa? Non vogliamo fare la morale alla nostra clientela, nemmeno per quanto riguarda la sicurezza. Certo, a noi della sicurezza informatica piacerebbe avere un grande cartello rosso lampeggiante con scritto: «Attiva la 2FA». Ma non vogliamo obbligare nessuno. Il nostro rilevamento delle frodi è efficace e in continuo sviluppo. Tuttavia, se i truffatori hanno sottratto login e password validi dal PC della vittima e la suddetta 2FA non è attivata, diventa molto difficile per noi rilevare eventuali ordini fraudolenti.

A cosa devo prestare attenzione quando faccio acquisti con la carta di credito? Noi non memorizziamo i dati delle carte di credito: i pagamenti vengono elaborati per noi dalla società specializzata Datatrans. Per la sicurezza della nostra clientela, chiediamo anche agli emittenti di carte di credito il cosiddetto obbligo di 3-D Secure: per ogni accesso e per ogni pagamento, l'utente deve fornire una seconda prova di identità, un cosiddetto secondo fattore che richiede la banca, analogo alla 2FA. Ad esempio, inserendo un codice SMS o scansionando l'impronta digitale. Non possiamo verificare se tutte le banche richiedano questo secondo fattore. Per questo motivo consigliamo alla nostra clientela di utilizzare solo carte di credito che usano la tecnologia 3-D Secure per gli acquisti online.

E di quale misura di sicurezza non abbiamo ancora parlato? Nella maggior parte dei casi, è utile ricorrere al buon senso e cancellare immediatamente le e-mail insensate. Ad esempio, queste assurde promozioni, che ti allettano con un prezzo da capogiro: «Macbook Pro 2022 a 1.99 franchi». E se per sbaglio cancelli un'e-mail importante per motivi di sicurezza, il mittente si rifarà vivo.

* Questo articolo è stato pubblicato per la prima volta nel novembre 2023. È stato aggiornato e ripubblicato in vista della Black Friday Week e del Natale.