Il furto di identità si verifica quando un criminal hacker si impadronisce dei dati personali di qualcuno. Per poi rivenderli nel Dark Web, perpetrare truffe di ogni genere e rubare ben più del semplice denaro. Ecco la guida che aiuta a capire il valore dei propri dati personali e insegna come proteggerli.
Il furto di identità è l’impersonazione di una vittima da parte di un malintenzionato per attribuire alla vittima stessa le azioni svolte dal malintenzionato.
Una problematica divenuta di assoluta rilevanza in tempi di GDPR e protezione dati, soprattutto per le aziende che questi dati devono trattarli e proteggerli da minacce di ogni tipo, anche per soddisfare la necessità di gestire correttamente i requisiti posti dal Regolamento UE.
Furto di identità: cos’è
La ragione per cui il tema è diventato più rilevante è che le aziende trattano dati dei propri clienti, dipendenti o collaboratori, quali indirizzo, numero di telefono o anche copia di un documento di identità. Questi dati sono utilizzati per il furto di identità ed è quindi importante capirne il valore e come proteggerli.
Il furto di identità interessa però le aziende anche quando le vittime sono rappresentanti dell’azienda stessa. Nell’ambito di frodi che possono avere un impatto importante e che saranno quindi approfondite.
Il furto di identità non è certamente nato con Internet, anzi. Tutt’ora, una delle forme di furto di identità più comuni è quella in cui il malintenzionato fornisce credenziali false per avere accesso ad un finanziamento. Ad esempio per l’acquisto di un televisore. In questo caso lo scopo è non rimborsare poi il prestito, lasciando le conseguenze alla vittima. Naturalmente, questa cosa non dovrebbe essere possibile: al momento dell’accensione del finanziamento, l’identità del richiedente dovrebbe essere verificata. Come è possibile quindi il furto di identità?
Quando una persona è identificata da qualcuno che non la conosce direttamente, questo riconoscimento avviene sempre attraverso delle credenziali associate a quella persona. Un documento di identità, uno username o anche solo un nome e un indirizzo.
La Verifica
La verifica dell’associazione fra queste credenziali e la persona può essere più o meno approfondita, in funzione di tanti fattori. Ad esempio, quando un postino ci consegna un pacco a casa, si fida del fatto che noi dichiariamo di essere la persona che lo deve ricevere. Quando ritiriamo una raccomandata, invece, ci viene chiesto un documento di identità. Se però, deleghiamo qualcuno per il ritiro di un pacco, bastano una fotocopia del documento e una firma.
Insomma, ci sono diverse ragioni per cui l’identificazione o l’autenticazione delle credenziali possono essere più o meno facili da aggirare. Un truffatore studia attentamente questi punti deboli, per poi sfruttarli a proprio vantaggio.
Tipi di Truffa
Per comprendere bene il furto di identità online, è utile analizzare ancora due tipi di truffa comuni nel mondo reale. Anche se non si tratta strettamente di furto di identità.
La prima sono i falsi bollettini postali di tasse e utenze che a volte vengono inviati a casa delle persone. In effetti, quando ci arriva a casa un bollettino postale, c’è una serie di verifiche che potremmo fare. Le verifiche sono: che il numero dell’utenza sia il nostro, che la lettura sia corretta, che corrisponda ad un pagamento dovuto (cioè, sia nel periodo giusto) e, soprattutto, che il numero di conto corrente sia effettivamente associato all’Ente al quale dobbiamo il pagamento.
Proprio quest’ultimo controllo è veramente difficile da fare: non abbiamo realmente un modo semplice per verificare questo numero, che è poi quello realmente critico. Possiamo solo sperare che le altre informazioni siano sufficienti per riconoscere l’eventuale falso, dato che pur non essendo segrete, non sono neanche immediate da raccogliere. Il punto importante è che nel momento in cui il bollettino è credibile, ci sarà un certo numero di persone che non lo controlla più a fondo e lo paga.
La seconda tipologia di truffa mette ancora più in evidenza l’importanza che hanno per il truffatore le informazioni sulla sua vittima ed è quella, praticata purtroppo soprattutto nei confronti di anziani, che consiste nel farsi passare per un amico del figlio, per chiedere poi dei soldi o altro. È chiaro che più il truffatore riesce a fornire informazioni credibili sul figlio, più la sua bugia risulterà verosimile. E ormai, tantissime di queste informazioni sono disponibili online.
Il furto di identità su Internet: è tutto più facile
Con l’avvento di Internet, il furto di identità è diventato molto più facile. Su Internet non c’è più una persona fisica che possa essere verificata; la nostra identità online è costituita esclusivamente da informazioni, facilmente riproducibili e spesso altrettanto facili da raccogliere e duplicare: indirizzi di posta elettronica, username, profili.
Internet ci permette di avere una identità, o anche tante, in questo contesto immateriale, completamente scollegate a quella nel mondo materiale. Se questo costituisce una grande libertà, dall’altra è anche una debolezza: chiunque può creare un indirizzo di posta elettronica con il nostro nome e cognome, o un profilo associato al nostro nome su un social network, mettendoci magari informazioni e foto che noi stessi abbiamo caricato su altri profili. Ma questo tipo di furto di identità è meno comune: molto più comune è invece cercare di impossessarsi di una nostra identità autentica, abusandone.
Collegare un’identità immateriale ad una persona
Collegare un’identità immateriale ad una persona fisica non è semplice. L’unico vero collegamento è con il possessore delle credenziali di autenticazione, tipicamente una password: chi controlla quella password controlla la nostra identità. Il malintenzionato cercherà quindi di acquisire le nostre credenziali per ottenere il controllo di una nostra identità reale, per quanto immateriale, ed utilizzarla per i propri scopi.
Il sistema più comune con cui viene fatta questa operazione è il cosiddetto phishing. In pratica, la vittima riceve un messaggio di posta elettronica che sembra provenire dal proprio gestore del servizio di cui il truffatore vuole le credenziali, ma in realtà è stato inviato dal truffatore imitando quelli autentici.
Il messaggio richiede di inserire queste credenziali in un form online, che a sua volta sembra dello stesso servizio, ma in realtà è anch’esso controllato dal truffatore. Lo scopo è naturalmente acquisire le credenziali e utilizzarle per impersonare la vittima.
Secondo il Rapporto Clusit 2019, il phishing continua ad essere una delle tecniche di attacco più utilizzate, con un trend in continua crescita.
Furto di identità: difficile chiedere un risarcimento danni
L’efficacia di questa frode è molto alta, anche perché probabilmente le parti truffate, se non si accorgono subito che qualcosa non va, se ne renderanno conto solo dopo diversi giorni, quando il pagamento non sarà arrivato al giusto IBAN e si confronteranno per capire cos’è successo. A quel punto, i soldi saranno già spariti da tempo.
Questo tipo di frode assume molte forme già viste in attacchi reali: il cliente di una banca che ordina dei pagamenti via posta elettronica al direttore di una filiale con il quale è in amicizia, o addirittura lo scambio di e-mail fra due dirigenti per un pagamento ingente relativo ad una operazione all’estero.
Come Fare
È bene sottolineare che se la vittima del furto di identità è la persona dell’amministrazione, il vero truffato è il cliente: è lui che paga ad un conto sbagliato sulla base di una mail fasulla. Naturalmente la stessa truffa sarebbe stata possibile se ad essere attaccata fosse stata la casella del cliente, ma comunque è chi non ha autenticato correttamente la fonte a subire il danno.
Naturalmente questo principio, corretto in generale, può avere risvolti diversi. Nel caso del finanziamento citato all’inizio, chi risulterà truffato alla fine è il negozio che ha venduto il televisore, ma nel frattempo la persona che ha subito il furto di identità si potrebbe trovare segnalato alla Centrale Rischi e non essere in grado di ottenere un mutuo, per non parlare delle azioni per il recupero del credito che il negozio potrebbe aver avviato nel frattempo.
Proprio perché di solito il truffato è quello che è stato carente nelle sue verifiche, e poiché la persona di cui è stata rubata l’identità è a sua volta vittima, è difficile che ci sia qualcuno a cui chiedere un risarcimento: l’unica soluzione è prevenire la truffa, o almeno rilevarla il prima possibile per bloccare in tempo eventuali pagamenti.
Furto di identità: come tutelarsi
La protezione contro questo tipo di truffa è sempre lo stesso: quando viene chiesto di fare un’operazione “anomala”, bisogna fare un passaggio di verifica in più. È quella che si chiama “autenticazione adattiva”, che già vediamo utilizzata dai servizi online più evoluti. Viene identificato un comportamento “normale”, che richiede un’autenticazione semplice; quando viene richiesta un’operazione anomala, che sia per il tipo di operazione, la sua rischiosità, ma anche l’area geografica o il dispositivo da cui viene richiesta, allora si passa ad esempio ad un’autenticazione più forte, o si richiede una verifica telefonicamente, o comunque si fa un ulteriore passaggio di validazione della richiesta che ha anche il risultato di “allertare” la potenziale vittima del fatto che qualcosa stia succedendo, nel caso non fosse lui l’autore dell’operazione.
Per quanto riguarda la truffa sull’IBAN sopra descritta, per evitare il danno di solito è sufficiente una semplice verifica telefonica quando via mail venga richiesta un’operazione “critica” come un cambio di IBAN.
Conseguenze e consigli su come difendersi
L’accesso alla casella di posta elettronica può però avere conseguenze peggiori. Può permettere di venire a conoscenza di informazioni personali che possono essere usate nei modi più vari.
Molti servizi, in caso di richiesta di cambio password, possono richiedere di rispondere ad una domanda “segreta”, che spesso fa riferimento ad informazioni che sono tutt’altro che segrete, e che invece pubblichiamo sui nostri profili social: la scuola in cui abbiamo studiato, il nome di animali domestici o simili. Sono informazioni “segrete” solo nei confronti di malware ed altri strumenti che tentino un accesso in modo automatico e su grandi numeri, non certo quando ci sia un tentativo più determinato di ottenere l’accesso ai servizi di una specifica vittima.
La seconda protezione consiste tipicamente nell’invio di un link di reset password alla casella di posta elettronica, dove generalmente arrivano anche gli avvisi che questa cosa è avvenuta. Avere l’accesso alla casella di posta elettronica può quindi consentire di ricevere questo link, resettare la password di altri servizi e poi accedervi. Questo meccanismo si può ripetere a catena verso servizi sempre più critici, permettendo all’attaccante di controllare parti sempre più ampie dell’identità online della vittima.
La situazione peggiora se ad essere attaccati sono lo smartphone o il PC, mediante malware. Che abbia accesso per esempio anche al canale SMS o ad altri canali di comunicazione utilizzati per l’autenticazione.
In questo caso, sarebbe possibile ottenere il controllo completo dell’identità online della vittima, e per quest’ultima potrebbe anche essere poi difficile riottenerne il controllo.
C’è un ultimo passaggio da considerare, e cioè il ritorno dal mondo immateriale a quello materiale. Tutte le informazioni, i contatti e le credenziali di accesso ottenuti possono essere utilizzati per impersonare la vittima al telefono verso i suoi contatti, o nei confronti di negozianti o autorità pubbliche.
Cercare di Tutelarsi
Purtroppo, la vittima può fare abbastanza poco per tutelarsi direttamente. Se non proteggere con attenzione le proprie informazioni, trattenendosi dalla pubblicazione compulsiva che caratterizza questo periodo. Soprattutto facendo attenzione al phishing ed a possibili segnali che possano indicare un utilizzo anomalo delle nostre identità.
A livello aziendale, ci dovrebbero essere politiche rigide sulla verifica personale o telefonica di eventuali operazioni anomale. Dove possibile concordate anche con le controparti, o quantomeno suggerite.
In generale, i meccanismi di autenticazione dovrebbero essere gestiti con cura, prediligendo quelli che prevedono un’autenticazione forte e possibilmente adattiva. Ormai moltissimi servizi ne consentono un’attivazione semplice e poco invasiva, con un utilizzo decisamente meno scomodo di qualche anno fa.
Ci saranno sempre situazioni che sfuggono al controllo della vittima.
Andrea Netti – Innovation Manager
