mercoledì 13 giugno 2018

ESET, frodi sui Mondiali di calcio in Russia: come evitare un autogol


Uno dei metodi più comuni è quello di diffondere su larga scala delle presunte promozioni che coinvolgono “beni” legati alla manifestazione come biglietti economici, pacchetti di ospitalità comprensivi di biglietti, alloggi, lotterie, voli per le città che ospitano le partite. Il Mondiale di calcio 2018 si disputerà in Russia da giovedì 14 giugno a domenica 15 luglio. Le migliori 32 Nazionali del Pianeta si affronteranno per la conquista del titolo iridato. Si tratta dell’edizione numero 21 dei Campionati Mondiali di calcio, l’undicesima che si tiene in Europa, organizzata dalla FIFA che l’ha assegnata per la prima volta alla Russia nel 2010.  Ecco i consigli degli esperti di ESET per evitare tranelli.

“A tutti i tifosi di calcio e alle più grandi squadre di calcio del pianeta: benvenuti!”. Così il presidente russo Vladimir Putin in un messaggio pubblicato sul sito del Cremlino alla vigilia dell’inizio dei Mondiali. "Abbiamo fatto del nostro meglio per garantire che tutti i nostri ospiti - gli atleti, lo staff e, naturalmente, i tifosi - si sentano a casa: abbiamo aperto il nostro paese e il nostro cuore al mondo. Benvenuti alla Coppa del Mondo FIFA!”, ha detto Putin. “Vogliamo che questo evento sia una celebrazione, piena di passione ed emozioni.”, ha aggiunto Putin. Proprio come per ogni grande evento sportivo che affascina le folle di tutto il mondo, lo spettacolo di calcio che prenderà il via in Russia domani presenterà una miriade di opportunità per tutti i tipi di frodi su Internet. 

I truffatori infatti non aspettavano altro, nella speranza di sfruttare al massimo la popolarità dell’evento calcistico più importante del mondo, nonostante il mancato accesso della Nazionale italiana; tenteranno di impossessarsi dei dati personali degli appassionati di football, solitamente concentrandosi su quelli della carta di credito o le credenziali di accesso ai servizi online, utilizzando vari metodi. Ecco quali sono, secondo gli esperti di ESET, i principali tentativi di truffa in cui si potrebbe cadere. Uno dei metodi più comuni è quello di diffondere su larga scala delle presunte promozioni che coinvolgono “beni” legati alla manifestazione come: biglietti economici, pacchetti di ospitalità comprensivi di biglietti, alloggi, lotterie, voli per le città che ospitano le partite, solo per citarne alcuni. 

Queste “occasioni” vengono tipicamente pubblicizzate tramite e-mail fraudolente o post e messaggi sui social media che, come è loro abitudine, giocano sulle emozioni delle persone. Dopo tutto, a chi non piace fare un buon affare? Naturalmente, dietro c’è un inganno. Una volta che le vittime sono state indotte a credere ai contenuti dei messaggi spam e cliccano sul link presente nell’email, vengono dirottate su un sito di phishing che solitamente imita in maniera convincente il logo della Coppa del Mondo o addirittura si propone come vero e proprio duplicato del sito originale. Una volta inseriti i dati nei moduli fasulli credendo di pagare per dei biglietti legittimi, le vittime forniscono pieno accesso ai propri servizi, dando così l’opportunità ai criminali di svuotargli i conti bancari.

I truffatori possono spacciarsi anche per la FIFA, i suoi sponsor o per altre aziende che ne finanziano determinati eventi come Visa, Adidas o Coca-Cola, per inviare messaggi di congratulazioni relativi a fantomatiche vincite a false lotterie. Insieme a loro, gli oltre tre miliardi di spettatori che guarderanno il più importante evento sportivo al mondo non potranno fare a meno di notare marchi a loro sconosciuti. Così per ritirare il proprio “premio” verrà richiesto alla vittima di introdurre i propri dati personali e/o gli verrà richiesto un piccolo pagamento. Altri tentativi di truffa possono concentrarsi sui visti di viaggio necessari per recarsi in Russia, dove i criminali impersonano le autorità del paese ospitante i Mondiali e dove vengono richieste informazioni sensibili alle potenziali vittime. 

Persino a chi non intende seguire la Coppa del Mondo potrebbero arrivare delle email o dei messaggi sui social media che contengono un allegato o un link pericoloso nascosti dietro a finti giochi, video dei gol delle partite, gossip sui giocatori più rappresentativi o altri contenuti a sfondo calcistico. Poi, con l’aiuto di un malware bancario collegato a questi contenuti ingannevoli, i truffatori saranno in grado di estrarre le informazioni finanziarie delle vittime. In un’altra situazione tipica può essere offerta alle vittime la visione gratuita in streaming delle partite su un sito compromesso. Esistono vari modi per vedere i match in diretta streaming sul proprio dispositivo. Molti siti che propongono la visione di questi eventi dal vivo sono illegali e offrono non di rado una qualità video e audio scarsa.


Una volta connessi alla pagina molto probabilmente verrà richiesta l’installazione di un programma che sembra legittimo (come Flash Player), ma che in realtà cela un malware in grado di consentire a un hacker di accedere al sistema della vittima. La FIFA ha avvisato che i biglietti per le partite possono essere acquistati esclusivamente sul sito ufficiale e che le agenzie a cui è consentito utilizzare il marchio della coppa del mondo per sponsorizzare offerte su sistemazioni vicine agli stadi sono solo quelle autorizzate. In questi ultimi giorni sono state identificate e rimosse innumerevoli truffe sulla vendita online dei biglietti, ma purtroppo ne circolano ancora molte. Gli esperti di ESET ricordano inoltre che qualsiasi titolo comprato al di fuori del canale ufficiale non garantisce l’ingresso agli stadi.

Questa è una delle classiche situazioni in cui applicare le difese online di base. Ciò include essere astuti nel riconoscere i messaggi di phishing, che si basano su tecniche che sono state utilizzate per diversi decenni e che rimangono tuttavia alcuni dei metodi più efficaci per le frodi informatiche. Non dare per scontato che un sito Web sia legittimo, solo perché ha quel lucchetto verde confortante (cioè il segno HTTP Secure / HTTPS) alla sinistra dell’URL. Una connessione sicura e un sito sicuro sono due cose diverse. Anche i truffatori stanno utilizzando sempre più spesso l’HTTPS. Alcuni siti di phishing provengono da HTTPS solo incidentalmente, o come bonus aggiuntivo. I phisher spesso dirottano siti legittimi per i propri usi o scelgono attivamente di implementare la crittografia Web.

Allo stesso modo il semplice fatto che un sito compaia in una ricerca su Google non significa che sia autentico, i criminali possono aumentare il posizionamento dei loro siti attraverso strategie di ottimizzazione sui motori di ricerca (SEO) o annunci a pagamento. Utilizzare solo canali affidabili per ricevere gli ultimi aggiornamenti sulle squadre e sui giocatori preferiti. Inoltre non bisogna mai dare per scontato che una rete Wi-Fi pubblica sia legittima, i criminali possono infatti utilizzare facilmente una connessione Wi-Fi non criptata per intercettare il traffico e raccogliere le informazioni sensibili che vengono digitate, senza escludere la possibilità che possano iniettare malware nel traffico dati. L’hacking delle reti wireless pubbliche non richiede conoscenze tecniche sofisticate. 

Alcuni degli strumenti sono ampiamente disponibili e facili da usare. Gli hacker non si limitano a incidere su reti Wi-Fi legittime esistenti, ma in alcuni casi possono impostare i propri spot Wi-Fi falsi. Gli hacker creano una rete fittizia con un nome innocuo che incita i consumatori a pensare che sia legittima, come “Starbucks Wi-Fi” in un bar. Possono quindi registrare tutte le sequenze di tasti di persone che utilizzano quella rete, inclusi nomi utente e password per vari account. Evitare l’uso di servizi bancari online o effettuare acquisti personali su connessioni non sicure e/o utilizzare una rete privata virtuale affidabile (VPN) per crittografare il traffico tra il dispositivo e Internet. Utilizzare l’autenticazione a 2 fattori, che richiede di fornire due elementi per dimostrare la propria identità.

Ad esempio, quando si accede al proprio account Dropbox viene richiesta la password e quindi inviato un codice SMS al proprio smartphone. È necessario inserire il codice prima di concedere l’accesso. Quando si utilizza una rete Wi-Fi pubblica, limitare l’attività alla navigazione sul Web. Evitare l’uso di account che richiedono informazioni di accesso (come e-mail e conti bancari), evitare l’invio di dati privati ​​attraverso la rete, non scaricare alcuna app e non installare alcun aggiornamento. Assicurarsi che la rete Wi-Fi utilizzi l’ultima tecnica di crittografia, nota come protocollo WPA (Wi-Fi Protected Access) 2 o 3. Utilizzare una connessione cellulare invece del servizio Wi-Fi gratuito. Mantenere aggiornato il proprio sistema operativo e le proprie applicazioni all’ultima versione disponibile.

Un altro tipo di minaccia che colpisce i turisti sono le truffe ATM. Recentemente le autorità russe hanno emesso un avviso sull’esistenza di truffatori che acquistano i bancomat fuori circolazione per ricondizionarli e utilizzarli per ingannare i turisti che arrivano per la Coppa del Mondo. Una semplice precauzione è quella di utilizzare gli sportelli automatici situati in aree ad alto movimento. Inoltre, prestare sempre attenzione a qualsiasi cosa sospetta che suggerisca che il distributore sia stato manomesso. ESET offre una completa gamma di soluzioni di sicurezza, dall’apprezzato NOD32 Antivirus alle proposte per le imprese basate su esclusive tecnologie multilivello in grado di individuare e bloccare il malware. Per ulteriori informazioni: www.ESET.com: Via: Ketchum Italia


Nessun commento:

Posta un commento