In un mondo in cui l’evoluzione tecnologica non accenna a fermarsi, anche gli hacker si tengono al passo coi tempi ideando truffe sempre più moderne e subdole, facendo leva sulla fiducia e sui timori delle vittime.
La minaccia di denuncia al Garante della privacy
Un esempio di queste moderne modalità di frode consiste nella ricerca da parte degli hacker di falle nei server dei malcapitati e nella conseguente minaccia di denuncia al Garante della privacy.
Fino a non molto tempo fa, gli hacker utilizzavano i ransomware per crittografare i dati in possesso delle vittime, ricattandole e richiedendo un riscatto per la restituzione di informazioni di valore. Oggi la nuova frontiera delle cyber-truffe è rappresentata, a seguito di accesso illecito ai server, dalla minaccia di denuncia al Garante della privacy, in relazione alla mancata adozione delle misure di sicurezza previste dal Reg. (UE) 679/16 – GDPR. E, considerate le sanzioni previste dal Regolamento, è semplice immaginare i facili guadagni alle spalle di titolari o responsabili poco compliance.
E’ il ricercatore informatico Victor Gevers a segnalare il fenomeno ponendo l’attenzione su come un singolo hacker sarebbe riuscito ad avere accesso a 23.000 server utilizzando tools automatizzati in grado di rilevare quali tra questi non fossero protetti da password di accesso e ad appropriarsi dei dati contenuti all’interno facendone una copia da utilizzarsi per ricattare i proprietari dei server richiedendo un riscatto a fronte di denuncia al Garante della privacy per non aver adottato le necessarie misure di sicurezza atte a evitare attacchi esterni.
Considerato che le sanzioni, per questo tipo di violazioni, possono arrivare a 10 milioni di euro o al 2% del fatturato globale annuo, la tentazione da parte del malcapitato di pagare il riscatto, spesso esiguo a confronto delle possibili sanzioni previste (0,015 Bitcoin, poco più di 100 euro) è forte, soprattutto se l’adeguamento al Regolamento, da parte dell’Azienda, è colpevolmente e consapevolmente carente.
D’altro canto, il Titolare che dovesse decidere di pagare il riscatto, incorrerebbe nel rischio, reale questa volta, di incorrere nelle sanzioni previste dal Regolamento in relazione alla mancata notifica al Garante del “data breach” subito, richiesto entro le 72 ore dall’evento dal Regolamento. Se, in seguito, il Garante dovesse venire a conoscenza dell’evento, cosa non poco probabile, ad esempio a seguito di vendita delle informazioni trafugate nel Dark Web o nell’utilizzo dei dati degli interessati per attività di phishing, la vittima si troverebbe esposta alle verifiche del Garante e alle conseguenti sanzioni certe.
Senza considerare la possibilità che il truffatore, a seguito di pagamento, possa non accontentarsi di quanto ottenuto e prosegua imperterrito nella sua attività criminosa di ricattare il titolare, essendo comunque ancora in possesso dei dati trafugati.
Il vishing
Un’ulteriore nuova forma di truffa è rappresentata dal vishing, dall’inglese voice-phishing: simile al phishing, invece di avvenire via posta elettronica, il vishing viene effettuato attraverso i servizi di telefonia, sfruttando, ad esempio, la tecnologia VoIP che permette di effettuare conversazioni telefoniche attraverso la connessione ad internet. Come funziona il vishing? I truffatori effettuano telefonate simulando l’esistenza di un call center (ad esempio di una banca) e richiedono i propri dati alla vittima, facendo leva sulla fiducia della stessa nei confronti di una persona autorizzata a richiedere tali informazioni.
Un esempio di vishing è il seguente: “Buongiorno signore, la contatto dalla sua banca: abbiamo rilevato un tentativo di furto dei dati della sua carta di credito. Per questioni di sicurezza, le chiedo cortesemente di fornirci le sue informazioni originali, così che ci sia possibile verificare l’attuale stato di protezione dei suoi dispositivi di pagamento.”
Molte persone, soprattutto anziane, sono inclini a fornire i propri dati nel timore di una reale minaccia di furto risultando facile preda di questa tipologia di truffe.
Per scongiurare ogni rischio, si consiglia di interrompere senza indugi la telefonata e di contattare la società nel cui nome è stata effettuata la raccolta dei dati al fine di verificare la veridicità di quanto comunicato e della richiesta effettuata dall’operatore.
Questo tipo di truffa ha preso sempre più piede tra il 2009 e il 2010 negli USA e nel Regno Unito, diffondendosi recentemente anche sul continente europeo.
E’ fondamentale, quindi, conoscere le possibili modalità di frode cui ci si può trovare di fronte al fine di evitare di cadere in trappola e diventare vittime di malfattori digitali senza scrupoli. La parola d’ordine è diffidare sempre.