SOSTIENICI

MENU

ASSOCIAZIONE

Come difendersi dalle truffe online: la guida completa11 min read

14 Aprile 2025 Comunicazione Educazione -

di

Come difendersi dalle truffe online: la guida completa11 min read

Reading Time: 8 minutes

I raggiri e le truffe online e al telefono fanno parte dei rischi quotidiani del nostro tempo. Niente panico: in questo articolo trovate una guida chiara e completa per imparare a prevenirle e a difendervi. Cominciamo!

Sempre più di frequente capita di vedere lo schermo del nostro cellulare che si illumina, facendo comparire un numero di telefono che non è nella rubrica. Dall’altra parte potrebbe esserci una voce registrata che ci informa dell’ultima offerta del momento: in quel caso si mette giù e si va avanti con la propria vita. Se invece si tratta di qualcuno che dice di chiamare per conto della nostra banca, allora saremo più restii ad appendergli la cornetta in faccia. Attenzione, spoiler: potrebbe essere una truffa! Nel dubbio mettete giù e chiamate voi la banca.

Come si rischiano le truffe online?

Ci sono diversi modi in cui hacker e malintenzionati possono provare a raggirarci per mettere le mani su dati sensibili come PIN, password e codici:

  1. Tramite mail (Phishing). Capita di frequente di ricevere mail truffaldine da parte di quelli che sembrano servizi a cui siamo iscritti (banche, siti di streaming o operatori telefonici). Le mail spesso contengono link che, una volta cliccati, ci riportano a siti in cui inserire le nostre credenziali, che potrebbero poi essere salvate da chi ci sta ingannando. Finché la mail riguarda compagnie telefoniche o banche con cui non abbiamo nulla a che fare è facile non cascarci, ma quando la mail è di un servizio che utilizziamo frequentemente le cose cambiano.
  2. Tramite messaggio (Smishing). La pratica è molto simile a quella sopra riportata, la differenza è che il link da cliccare ci verrà mandato per SMS o tramite WhatsApp. Quando il mittente è sconosciuto ci viene più spontaneo ignorare il tutto, ma può capitare che i truffatori, manipolando un’informazione all’interno dei protocolli SMS, mostrino il nome della nostra banca e ci invitino a chiamare un numero di telefono per verificare operazioni non effettuate da noi. In questo caso è più difficile accorgersi della frode.
  3. Tramite chiamata (Vishing). Forse la forma più comune di imbroglio è quella tramite telefonata in cui l’interlocutore ci chiede dati sensibili (ad esempio codici bancari o credenziali di accesso), spacciandosi per un tecnico o un impiegato di un servizio che conosciamo.
  4. Tramite software. Gli hacker utilizzano programmi per inserire automaticamente liste di password “comuni”, nella speranza che anche quella usata da voi sia una di quelle. Esistono anche altri metodi che, sempre in maniera automatica, provano tutte le combinazioni possibili di caratteri. Ora è più chiaro perché le password devono essere lunghe e con caratteri speciali?
  5. Tramite Virus. Esistono virus in grado di salvare ed inviare automaticamente le password che inseriamo a persone esterne che ne potranno fare ciò che vogliono.
  6. Tramite occhi indiscreti. Un modo molto banale per regalare codici di accesso e password è inserirli davanti a qualcuno con una buona memoria. Se malintenzionato, li utilizzerà per i propri scopi.

Come prevenire le truffe online?

Ecco le accortezze da avere per difenderci da questi pericoli.

  1. Come comportarsi se si riceve una mail sospetta:
        1. Controllare sempre l’indirizzo mail che ci contatta. Spesso basta verificare chi ci scrive per capire che dall’altra parte ci sono delle fregature: l’indirizzo mail “account@m1crosoft-secure.co” sembra essere un’assistenza di Microsoft, ma la presenza di caratteri particolari (il numero “1” all’interno del dominio della mail) ci permette di diffidare con sicurezza da tutte le informazioni contenute nel messaggio ricevuto. Non sempre però a colpo d’occhio si può capire che il mittente è un truffatore: prendendo l’indirizzo “support@paypal-verification.com” potremmo pensare di essere contattati da PayPal, ma verificando in rete ci accorgeremo che la mail riportata sopra ha un dominio differente e che ogni comunicazione di PayPal arriverà da “xxxx@paypal.com”.
        2. Porre attenzione al saluto nelle mail. Tutte le comunicazioni ricevute che iniziano con “Caro Cliente” o “Buongiorno Utente Amazon” (Amazon per scrivere un esempio, ma qualsiasi sito andrebbe bene per descrivere il messaggio ingannevole) sono spesso Phishing in quanto i siti a cui siamo iscritti hanno i nostri dati anagrafici e se devono comunicare con noi, lo faranno salutandoci per nome.
    1. Come ci si comporta se si ricevono telefonate o messaggi sospetti:
        1. Verificare sempre il numero che ci chiama o ci scrive. Se il numero non è salvato nella nostra rubrica potrebbe bastare una veloce ricerca su internet per capire che chi ci contatta non ha buone intenzioni: esistono diversi siti in cui gli utenti riportano le loro esperienze telefoniche commentando chi li ha chiamati, da che numero e cosa voleva.
        2. Non fidarsi dei messaggi di conoscenti. Se ricevete un messaggio da un numero presente in rubrica, che manda un link sospetto, mettetevi in contatto con lui per chiedere di cosa si tratta prima di cliccare, sia per vostra sicurezza, sia perché, se il link fosse stato inviato involontariamente e contenesse virus, potrebbe essere stato spedito anche ad altre persone che il mittente dovrebbe avvertire, per correttezza.
        3. Dubitare dei messaggi di servizi noti. Se chi scrive è un servizio che conoscete, che invita a telefonare ad un numero riportato nel messaggio, diffidate e raggiungete il vostro servizio tramite i numeri di telefono o i contatti trovabili sui canali ufficiali. I truffatori possono registrare il loro numero di telefono come se facesse parte di banche o altri servizi (spoofing). In questo modo, quando l’ingannatore vi scriverà un SMS, questo verrà inserito all’interno della cronologia dei messaggi in cui, ad esempio, vengono riportate le vostre transazioni bancarie.
    2. Come ci si difende dai software che rubano le password:
      1. Creare password complesse. Ormai la maggior parte dei siti web non permette più agli utenti di inventare password minori di 8 caratteri e che non abbiano simboli, maiuscole e minuscole. Il consiglio per stare ancora più sicuri è superare di molto gli 8 caratteri (gli esperti consigliano di usarne oltre i 12) e comporre una sequenza alfanumerica molto complessa.
      2. Cambiare regolarmente le password, mantenendone la complessità. Poiché i software provano le combinazioni di caratteri per cercare di indovinare la nostra password, tutte le volte che noi la cambiamo, questi devono ripartire da zero. Tenere quindi le password aggiornate con regolarità è un’ottima metodologia per prevenirne la scoperta. Un buon consiglio è quello di non usare password sequenziali: se il codice d’accesso per entrare nel sito della biblioteca comunale è “Caraffa39”, non lo si dovrebbe modificare in “Caraffa40”.
      3. Utilizzare password differenti. Essere iscritti a centinaia di siti non è una scusa valida per avere una password uguale per tutti. La sicurezza deve essere sempre più importante della comodità. Non avere mai due password uguali previene la possibilità che, una volta scoperta una password, questa possa essere utilizzata per accedere ad altri nostri account.
    3. Come ci si difende dai virus.
      1. Avere un antivirus. Esistono tanti antivirus, anche gratuiti, che garantiscono di proteggerci. Una buona pratica è quella di averne uno sempre attivo e di effettuare con regolarità delle scansioni al nostro PC e al nostro smartphone per verificare che non ci siano programmi o applicazioni che possano rubarci informazioni. Risulta anche comodo impostare delle scansioni automatiche, in modo che queste avvengano senza che ce ne si debba ricordare.
      2. Utilizzare solo siti affidabili. Può succedere che gli antivirus non riescano nel loro lavoro. Aiutiamoli navigando solo su pagine attendibili, scaricando allegati solo da mail inviate da mittenti di fiducia ed evitando di premere download su siti che non conosciamo.
    4. Come ci si difende dagli occhi indiscreti. Qui non ci sono molti segreti, solo buone abitudini.
      1. Inserire la password in solitudine. Non permettere a nessuno di sapere quali sono le vostre credenziali, per nessun sito. In particolare se siete soliti usare la stessa password per più piattaforme. Se avete il sospetto che qualcuno vi abbia visto, non cincischiate e cambiatela al più presto.
      2. Non dire a nessuno le vostre password. Sia che vi stiate confidando con un amico, sia che vi venga richiesta per telefono, SMS o mail, non rivelate mai a nessuno la vostra password, fosse anche quella del sito del vostro supermercato di fiducia. E ricordate: nessuno ha il diritto di chiedervi i dati di accesso a un servizio. Se qualcuno vi chiede delle credenziali e non è vostro nipote che, dal vivo, vi sta aiutando ad accedere a Netflix, molto probabilmente state finendo in una truffa.
    5. Come ci si difende sui social. I metodi di truffa descritti sopra e le rispettive buone abitudini per proteggersi sono solo esempi, ma non dimentichiamo che al giorno d’oggi non esistono solamente le mail, gli SMS e le chiamate: spesso ci ritroviamo ad essere ingannati anche su social network come Instagram, Facebook, X, TikTok, ecc. Teniamo sempre l’attenzione molto alta tutte le volte che pensiamo di aver ricevuto messaggi sospetti anche su queste piattaforme.

    Quando la password non ci basta

    La sicurezza non è mai troppa. Esistono ulteriori precauzioni che possiamo prendere per proteggerci maggiormente sia da noi stessi che dagli altri, cercando anche un equilibrio con la comodità.

    • Non sforziamo la memoria. Iniziamo ad impostare delle password complesse e sempre diverse, senza paura di dimenticarle: esistono delle applicazioni che ci permettono di salvare tutte le password e i rispettivi username, in modo che quando dovremo loggarci all’interno di un sito basterà aprire quest’app (solitamente protetta da codice o riconoscimento biometrico). Un esempio è Microsoft Authenticator, ma esistono anche note aziende di antivirus che offrono servizi di questo genere. Ricordiamoci inoltre che Google dà la possibilità di salvare automaticamente le credenziali dei siti che visitiamo (Gestore delle password Google), in modo che all’accesso successivo i campi richiesti saranno riempiti in automatico. Utilizzare questa funzionalità ci permetterà anche, in pochi click, di fare una verifica su tutte le nostre password, per capire se sono inefficaci, riutilizzate o addirittura già compromesse.
    Come difendersi dalle truffe online: la guida completa
    • 2FA – Two-Factor Authentication. Quando reputiamo necessario proteggere in maniera ancora migliore i nostri account, possiamo utilizzare il 2FA: impostare una password è il primo livello di autenticazione, quindi qualcosa che “sappiamo”. Il 2FA aggiunge un secondo fattore: qualcosa che “abbiamo” (un codice) o che “siamo” (l’impronta digitale o il viso, scansionato con la fotocamera del PC o dello smartphone). Andando nelle impostazioni dei nostri siti, nella sezione dove si può gestire l’account, spesso ci sono delle voci riguardanti la modifica delle password ed il settaggio del 2FA. Questo può avvenire tramite:
      1. SMS: quando proveremo a connetterci ad un sito dove questa pratica è attiva, una volta compilata la password riceveremo sul cellulare un messaggio con un codice da inserire per effettuare l’accesso.
      2. Applicazione: se abbiamo timore che gli SMS vengano intercettati, possiamo utilizzare delle applicazioni (Google Authenticator, Microsoft Authenticator, Duo Mobile, ecc.) che generano ogni 30 secondi un codice che ci verrà richiesto quando effettueremo login.
      3. Autenticazione biometrica: inserite le credenziali, ci verrà richiesta l’impronta digitale o la scansione del viso per accertare che siamo veramente noi a voler entrare nell’applicazione.
    • PassKey. È un metodo di autenticazione che non richiede password, sostenuto da aziende come Apple, Google e Microsoft. Si basa su una coppia di chiavi crittografiche: una privata, situata sul nostro dispositivo, ed una pubblica condivisa con il servizio a cui si vuole accedere. Quando vogliamo effettuare l’accesso il servizio richiede la chiave pubblica associata al nostro account e, sul dispositivo, tramite il sistema di sicurezza (per esempio autenticazione biometrica), viene sbloccata la chiave privata. Il dispositivo genera una firma crittografica univoca per quella sessione, che il server può validare con la chiave pubblica.
      Tramite questo metodo la sicurezza è elevatissima perché le password non esistono e quindi non possono essere rubate da nessuno. Molti browser moderni (Chrome, Safari, Edge, ecc) e i principali sistemi operativi stanno implementando il supporto alle Passkeys.

    E se fosse troppo tardi?

    Come posso scoprire se la mia mail è mai stata vittima di una violazione di dati?
    Il Gestore delle password di Google, come scritto poco sopra, potrebbe darmi delle indicazioni a riguardo, ma esistono altre metodologie.

    Alcuni antivirus offrono un servizio che, inserendo un indirizzo mail all’interno di una barra di ricerca, verifica in rete per scoprire quando e su che sito è stato compromesso, così da andare immediatamente a modificare le password e, ora che lo sappiamo, ad impostare una PassKey o un metodo di 2FA.

    Un metodo analogo, ma utilizzabile senza antivirus, è quello di visitare il sito “Have I Been Pwned” per cercare quando e come la nostra mail è stata violata.
    Una funzionalità utile che ci viene fornita da “Have I Been Pwned” è la possibilità di ricevere una mail ogni volta, speriamo siano poche, che il nostro indirizzo di posta elettronica viene compromesso.

    Come difendersi dalle truffe online: la guida completa

    In conclusione, i metodi per salvaguardare i nostri account li abbiamo. Quello che purtroppo spesso ci manca è la voglia di attuarli o l’attenzione necessaria per non cadere nelle truffe.

     

    Foto in evidenza di Centre for Ageing Better su Unsplash

CONDIVIDI

Informatico per lavoro, (video)giocatore per passione. Sono bravo a spiegare quello che capisco, ma non capisco se mi sono spiegato.

Privacy online: come difendere i dati personali

16 Gennaio 2025 -

Archivio

Crisi climatica, trovare le parole per raccontarla

15 Novembre 2024 -

Ambiente

Ragazza con smartphone

L’uso dello smartphone danneggia i preadolescenti?

17 Ottobre 2024 -

Società

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

TORNA
SU