Passato il giro di boa del Black Friday, il periodo dello shopping natalizio è ormai in pieno svolgimento. Un appuntamento consueto per milioni di consumatori, e anche per i cybercriminali. Questi ultimi impegnati, più che a spendere denaro online, a incassarlo con truffe profittevoli in un’annata che, almeno secondo la National Retail Federation, vedrà raggiungere un ammontare di spesa ai livelli pre-pandemici.

Per fare shopping in sicurezza occorre quindi conoscere le potenziali minacce. Fortinet ha pubblicato un elenco esaustivo: falsi corrieri, compagnie aeree fasulle, agenzie viaggio inesistenti, link web malevoli, truffe via social e malware che sfruttano il web. Vediamo più nel dettaglio di che cosa si tratta.

Partiamo con il fenomeno delle consegne da parte dei siti di e-commerce: Amazon chi ha abituati alle consegne lampo, tanto che ormai quando ordiniamo online ci aspettiamo che i prodotti siano consegnati il giorno stesso o quello successivo, al massimo. Dato che questo non accade sempre, i criminali informatici cavalcano l’onda dell’”ansia da consegna” inviando messaggi che paventano un ritardo nella spedizione o di una consegna imminente.

Si tratta di email di phishing a tutti gli effetti in cui è presente un link da cliccare per confermare nome, indirizzo di spedizione e altri dati personali. Ovviamente non bisogna abboccare, perché tale link instrada il traffico su un sito canaglia che consegnerà le informazioni inserite direttamente ai criminali. Non solo, selezionando il link si corre anche il rischio di dare il permesso agli attaccanti remoti di leggere la cache del dispositivo mobile e accedere a una serie più ampia di dati, come i nomi utente e le password delle app e dei siti web frequentati.

Mettiamo da parte per un momento i regali e passiamo a chi ha deciso di trascorrere le vacanze fuori città. C’è chi cerca voli aerei, chi le offerte delle agenzie di viaggio, chi gli hotel. Il rischio è di incappare su siti falsi molto simili agli originali, che raccolgono le prenotazioni per voli o pacchetti vacanza inesistenti e incassano il corrispettivo in denaro. Oppure collezionano i dati personali dei malcapitati per riciclarli successivamente a scopi nefasti.

Le insidie del web

Quelle finora indicate sono le casistiche strettamente legate alle vacanze natalizie. Ci sono poi le truffe che conosciamo tutto l’anno, e che vengono declinate a seconda del periodo per attirare le potenziali vittime. Rientrano in questo filone le promozioni a cui non può dire di no (è bene ricordare che se è troppo bello per essere vero, di solito non è vero), che si trovano su siti web allestiti ad hoc. In questi casi gli acquirenti ci finiscono seguendo link malevoli, email di phishing, o anche commettendo un errore di digitazione del sito desiderato (il ben noto typo squatting). Oltre a incassare illecitamente i soldi della vendita fasulla, i cybercriminali in questi casi si impossessano dei dati della carta di credito per ulteriori furti.

Anche i più attenti possono cadere poi nel tranello dei malware web: gli attaccanti inseriscono annunci o link fasulli su siti web affidabili per attirare gli acquirenti lontano dal sito sicuro in cui stanno navigando. In genere i link sono associati ad articoli in vendita che sono presentati come gratuiti o scontati. Tali link spesso sono diffusi anche tramite i social media, su cui circolano anche buoni e carte regalo squisitamente falsi.

Come difendersi? Conoscere la minaccia è già un buon inizio. Una sana dose di scetticismo spesso minimizza i rischi. Inoltre, è bene tenere sempre aggiornati i software, controllare gli URL dei siti che si visitano, usare password forti e uniche per ciascun account. È inoltre consigliabile usare carte di credito con protezione contro le frodi e con attiva l’allerta sulle attività sospette associate al proprio conto.