Al riparo dal phishing nell'era dei pagamenti digitali

Postato il : 27/09/2019

In un panorama in costante evoluzione come quello digitale, il volume e la tipologia dei crimini informatici si moltiplicano a incredibile velocità. Mentre ogni giorno emergono nuove tendenze e minacce estremamente sofisticate, i messaggi di posta elettronica e phishing continuano a rappresentare il ​​principale vettore di infezione [1]: oltre il 90% dei malware e il 72% delle violazioni dei dati in ambito aziendale provengono da attacchi di phishing [2].

Ma cos'è il phishing?

Il concetto più tradizionale di phishing si riferisce a messaggi o e-mail di natura fraudolenta che inducono gli utenti internet a condividere dati sensibili quali informazioni personali o finanziarie.

Tali informazioni vengono quindi utilizzate per scopi illegittimi che vanno dalla sottrazione di denaro al furto d’identità, alla paralisi dei sistemi informatici fino ad attività di spionaggio.

Alla luce dell’aumentata mobilità delle persone e della varietà di piattaforme utilizzate per comunicare, gli attacchi di phishing si sono notevolmente evoluti diventando un fenomeno ancora più complesso: ecco che oggi vengono perpetrati tramite messaggi di testo/SMS (Smishing), chiamate telefoniche (Vishing), app mobile, social media. Il phishing ha assunto molte facce e molti nomi tra cui siti web fraudolenti, truffe del falso CEO, whaling, spear phishing, frodi BEC.

Il fenomeno del phishing riguarda tutti, dai consumatori alle imprese, ai governi e ai servizi finanziari regolamentati. L'anno scorso, il 75% degli Stati membri dell'UE ha rivelato casi di phishing. [3] Per quanto riguarda il nostro paese, il report 2019 di Clusit, l’associazione italiana per la sicurezza informatica, parla di un +37% di attacchi gravi nel solo biennio 2017-2018 e di un phishing mai evolutosi così velocemente come nell’ultimo anno.

Minaccia a volte sottovalutata, il phishing può causare danni irreparabili per un’intera organizzazione anche quando è un solo utente a cadere nella sua trappola. 

Come prevenire un attacco di phishing bancario?

Nel nuovo panorama del crimine informatico, è necessario per tutti alzare la propria soglia di attenzione: condividere dati sensibili con persone o su siti sbagliati può avere conseguenze estremamente spiacevoli. Occorre essere particolarmente vigili ogni qualvolta ci si ritrovi davanti alla richiesta di informazioni riservate, come la password del proprio conto bancario online. Ecco alcuni consigli per evitare di essere colpiti dal phishing [4]:

Tenersi informati sulle procedure della propria banca relativamente ai pagamenti e acquisire più familiarità con il suo sito e le sue app aiuterà l’utente a riconoscere più facilmente messaggi, email e telefonate fraudolente.

E’ opportuno tenere sempre a mente che in nessun caso e per nessun motivo la banca chiederà al proprio cliente di condividere telefonicamente o per e-mail informazioni sensibili come le credenziali di accesso ai servizi di online/mobile banking.  

PSD2: protezione avanzata degli utenti dal phishing

La più recente direttiva sui servizi di pagamento PSD2, la nuova normativa europea che regola i processi di pagamento nell'UE, ha introdotto ulteriori livelli di autorizzazione ai pagamenti elettronici proprio al fine di proteggere gli utenti dal phishing e altri tipi di frodi.

Oggi le banche sono tenute ad applicare l'autenticazione forte per le transazioni elettroniche: l'autenticazione a due fattori (2FA) è un sistema per transazioni più sicure e dati maggiormente protetti.

Tenersi informati su eventuali novità o modifiche introdotte dalla propria banca e assicurarsi di utilizzare sempre i sistemi di autorizzazione più recenti e più sicuri può essere di ulteriore aiuto nella prevenzione di incidenti legati al phishing.

I pagamenti MyBank aiutano a rimanere al sicuro

MyBank, soluzione di pagamento elettronico pienamente in linea con i criteri di sicurezza richiesti dalla PSD2, rappresenta una scelta intelligente in questo contesto. Il pagamento MyBank garantisce la protezione dell'identità digitale: all’utente non vengono richieste né nuove registrazioni né nuove password e i suoi dati non vengono mai condivisi con terze parti.

Chi utilizza MyBank beneficia di processi di e-payment basati su standard e protocolli web estremamente sicuri e costantamente aggiornati: i pagamenti vengono effettuati nell'ambiente digitale sicuro della propria banca.

MyBank non chiederà mai e per nessun motivo agli utenti di condividere dati sensibili o informazioni riservate al telefono o per e-mail.

Conclusioni

Internet è cresciuto esponenzialmente e con esso la vulnerabilità legata alla condivisione di dati personali. L’e-shopping, i social media e molte delle azioni che intraprendiamo online hanno reso le informazioni facilmente accessibili ai criminali informatici, che sono sempre alla ricerca di nuovi modi per indurre gli utenti a condividere le loro informazioni personali, finanziarie o altri dati riservati.

Prevenire un attacco di phishing richiede un maggiore livello di allerta e un approccio cauto verso messaggi di testo non richiesti, telefonate o e-mail sospette.

Quando si effettuano pagamenti online, è fondamentale utilizzare i metodi di autorizzazione più sicuri ed evitare che i dati vengano condivisi con terze parti: caratteristiche della soluzione MyBank, che mette al centro la sicurezza degli utenti.

  

[1]https://www.enisa.europa.eu/news/enisa-news/exposure-to-cyber-attacks-in-the-eu-remains-high

[2]https://www.verizonenterprise.com/resources/reports/rp_DBIR_2018_Report_en_xg.pdf

[3]https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment- iocta-2018

[4]https://www.europol.europa.eu/activities-services/public-awareness-and-prevention-guides/take-control-of-your-digital-life-don’t-be-victim-of-cyber-scams