Furto di identità: ecco quali informazioni e (dati) tenere protetti

Articolo di Alessandro Longo per Il Sole 24 ORE del 05/01/2019

Ci rubano l’identità su internet e attivano un piccolo finanziamento, a nostro carico, che toglie pochi soldi al mese sul conto – così non ce ne accorgiamo.

Oppure tentano il colpo grosso e dirottano a proprio vantaggio un corposo bonifico che ci riguarda. Ma anche ci possono rubare l’identità sui social network per scrivere a nostro nome cose molto lesive per la nostra reputazione. Tre esempi concreti e anche frequentemente avvenuti, secondo gli esperti, con un furto d’identità.

Come rubano i dati

Una minaccia molto più diffusa di quanto l’utente internet comune possa immaginare. Perché il furto d’identità può avvenire ormai in tanti modi, anche senza colpa alcuna da parte della vittima.
Già: sono sempre più frequenti i grandi attacchi di cyber criminali che entrano in server internazionali – di servizi web, hotel (vedi caso Marriot) – e così fanno incetta di dati personali degli utenti. E questi “data breach” si aggiungono alle tecniche più classiche, phishing o malware utilizzati dai criminali per sottrarre dati dai pc o dai cellulari degli utenti.

Quali dati rubano

«I dati rubati finiscono in archivi presenti sul dark web. Sempre vi troviamo i dati personali degli utenti (nome, cognome, data di nascita, mail). In taluni casi ci sono anche dati finanziari (numero di carta di credito, intestatario, scadenza carta)», spiega Pierluigi Paganini, cto di Cybaze e membro Enisa (agenzia europea per la sicurezza informatica). «Molto spesso gli archivi sono già organizzati per rendere più efficaci gli attacchi, ad esempio è possibile reperire archivi relativi a dati di utenti di un settore o una azienda specifica, oppure dati organizzati per distribuzione geografica».
«Tutti i dati concernenti l’utente possono essere utili per fare un furto di identità», dice Paganini. E «a volte può bastarne solo uno o due – per esempio quelli di accesso alla mail», aggiunge Claudio Telmon, esperto del Clusit (associazione cyber security italiana).
Inoltre, i criminali possono rubare l’identità un po’ per volta: «se riesco ad avere accesso alla mail, poi posso usarla per ottenere le password di tutti i servizi che vi si appoggiano (con “recupero password”). Se attivo una SIM a nome di qualcuno di cui ho rubato l’identità, poi posso usare quel numero di telefono per registrarmi a tanti servizi, che usano quel numero di telefono come autenticazione».

Perché avviene il furto d’identità

Il furto di identità avviene principalmente in due casi, secondo Telmon.
– quando qualcuno utilizza l’identità di un’altra persona per svolgere un’attività di cui si vogliono addossare le conseguenze ad altri (es. finanziamento al consumo). In questo caso al malintenzionato non interessa chi sia la vittima;
– quando qualcuno utilizza l’identità di un’altra persona per compiere azioni a nome di una specifica persona (es. impersonare qualcuno su un social network per attribuirgli dichiarazioni).

Se rubano dati personali e di carta di credito

«Le frodi più frequenti riguardano quindi l’acquisto di oggetti a rate con finanziamento, l’acquisto di credito/servizi di telefonia, fino all’apertura di conti correnti per l’emissione di assegni a vuoto – spiega Telmon. Tutti i dati che permettono di far risultare “autentica” l’identità sono utili: ad esempio se si fornisce un numero di cellulare della vittima, eventuali verifiche troveranno riscontro, e poi le prime telefonate dopo i mancati pagamenti arriveranno alla vittima, ritardando ulteriormente la scoperta della frode».
Di fondo c’è che «online è facile fidarsi di nomi e indirizzi non verificati. Vi faccio un esempio personale. Qualche anno fa qualcuno si è iscritto a Ebay fornendo il mio nome e il mio indirizzo di casa, e un indirizzo email claudio.telmon@ su di un provider qualsiasi, e poi ha venduto prodotti inesistenti sul mercato locale della provincia di Pisa. Chi li ha comprati ha visto un nome ed un indirizzo locali e li ha presi per buoni, e quando la merce non è arrivata ha cercato me».

Se rubano dati personali e di carta di credito

«Le frodi più frequenti riguardano quindi l’acquisto di oggetti a rate con finanziamento, l’acquisto di credito/servizi di telefonia, fino all’apertura di conti correnti per l’emissione di assegni a vuoto – spiega Telmon. Tutti i dati che permettono di far risultare “autentica” l’identità sono utili: ad esempio se si fornisce un numero di cellulare della vittima, eventuali verifiche troveranno riscontro, e poi le prime telefonate dopo i mancati pagamenti arriveranno alla vittima, ritardando ulteriormente la scoperta della frode».
Di fondo c’è che «online è facile fidarsi di nomi e indirizzi non verificati. Vi faccio un esempio personale. Qualche anno fa qualcuno si è iscritto a Ebay fornendo il mio nome e il mio indirizzo di casa, e un indirizzo email claudio.telmon@ su di un provider qualsiasi, e poi ha venduto prodotti inesistenti sul mercato locale della provincia di Pisa. Chi li ha comprati ha visto un nome ed un indirizzo locali e li ha presi per buoni, e quando la merce non è arrivata ha cercato me».

Se rubano l’accesso mail

E fin qui se ci rubano solo dati personali generici, non password di accesso. «Naturalmente, le cose peggiorano se qualcuno riesce ad avere accesso alla nostra casella di posta elettronica», dice Telmon. La frode online più comune alle aziende consiste nel monitorare la corrispondenza fra un’azienda ed un cliente, e poi, quando c’è un ordine di acquisto, nell’inviare al cliente una mail in cui si dice di effettuare il pagamento su di un altro conto corrente: avendo monitorato la corrispondenza, il truffatore può fare riferimento a nomi, dettagli numero d’ordine esatti, rendendo la mail particolarmente credibile.
La maggior parte dei servizi comunque, al momento permette il reset della password con un link mandato via email, quindi attraverso l’accesso alla casella di posta elettronica (serve la password, non basta l’indirizzo) un malintenzionato può avere accesso a tutti questi servizi. «La vittima magari si accorgerà che la sua password non funziona più, ma nella quasi totalità dei casi si limiterà a chiedere un nuovo reset per riavere l’accesso», dice Telmon.

Se rubano l’identità social

Diverso è naturalmente il furto di identità finalizzato a “far dire a qualcuno” cose. «Al di là dell’accesso all’account, ci vuole poco per creare un falso profilo per una persona su di un social network, specialmente se questa persona non usa quel social network», dice Telmon. Un caso noto è di una donna che sui social è stata resa una prostituta «E’ la versione moderna dello scrivere il numero di telefono, di una donna detestata, nei bagni pubblici».

Come proteggersi

Ci sono modi per difendersi da questi pericoli. Di base, ci sono tutte le cautele classiche di cyber security, da adoperare – ad esempio – per non cascare in mail di phishing o per un essere infettati da malware.
Molta cautela è necessaria in particolare prima di fare un bonifico: bisogna essere certi che l’iban del destinatario corrisponda al beneficiario corretto.
Non è sufficiente che il nominativo sia giusto: le banche a volte tengono conto solo dell’iban per autorizzare il bonifico (anche se quello corrisponde a un nominativo diverso da quello inserito dall’utente).
Così come il consiglio generale degli esperti è attivare la doppia autenticazione laddove possibile (per la mail e i servizi social) e un servizio di notifica per utilizzi della carta di credito o bonifici.
Infine, contro i casi di furto di identità creditizia, è utile attivare un servizio di verifica delle operazioni finanziarie fatte con il nostro nome (attivazione finanziamenti o carte di credito). È offerto da molte assicurazioni attivabili sul nostro conto corrente.[/vc_column_text][/vc_column][/vc_row]