Sembra una PEC normale, guardando meglio è strana: oggetto non chiaro e non usuale in italiano, un allegato file di testo (.txt). Il mittente è il provider stesso della PEC sembrerebbe…. meglio cancellare subito senza aprire nulla. In questo ultimo periodo anche i professionisti e le imprese sono sotto attacco dei pirati informatici usando la PEC. In alternativa al caso di cui sopra e con casistica più frequente, la vittima si vede recapitare un messaggio da un conoscente, spesso mediante la casella di posta elettronica, e viene invitata a cliccare su un link. Basta un attimo. Dopo il click un software malevolo infetta il device o entra nella casella di posta, accede alla rubrica ed invia file malevoli a tutti gli indirizzi e-mail presenti, facendo apparire la vittima come mittente. Nel peggiore dei casi lo script cripta tutti i file e viene richiesto un riscatto. In questo caso si tratta di “ransomware”, un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom = riscatto in inglese) da pagare (di solito in bitcoin) per rimuovere la limitazione. Attenzione a verificare la provenienza delle mail, non aprendo allegati o cliccare su link indicati se qualcosa nel messaggio lascia perplessi. Anche gli indirizzi PEC, infatti, non tutelano completamente dalla presenza di virus o malware. La caratteristica delle PEC è quella di indicare con certezza l’identità del mittente ma se quest’ultimo è stato oggetto di attacco o ha il dispositivo infetto, la PEC inviata non è più sicura e può essere strumento di infezione e generare ulteriori attività di phishing. Attenzione a falsi messaggi provenienti dall’INPS in cui si richiedono pagamenti per contributi dei dipendenti. L’INPS ha infatti comunicato che sono false le mail di richiesta che stanno pervenendo a uffici professionali o ditte/aziende. Anche utilizzando il canale whatsapp, non fornire i propri dati personali o aziendali ad enti o società. La crittografia end to end si applica durante la comunicazione ma non quando essa viene visualizzata o scaricata sul supporto. Da sapere: il numero associato a whatsapp e che appare al ricevente potrebbe essere alterato dall’hacker e/o corrispondere ad un ignaro utente estraneo. Attenzione alle modalità di compravendita di valuta estera e di moneta elettronica: alla Polizia Postale stanno pervenendo segnalazioni da diverse vittime. Banche e consulenti finanziari non possono chiedere al cliente di installare software di accesso remoto poiché la normativa sulle società finanziarie non lo considera una prassi corretta ed è vietata dalla legge. Tali richieste sono sempre irregolari e quasi sempre nascondono un tentativo di truffa. Per effettuare pagamenti o per ricevere denaro, è corretto ricorrere ai tradizionali sistemi di home banking. Si tratti dell’utilizzo del token, si tratti delle apposite applicazioni dallo smartphone, sono di solito mezzi sicuri, essendo programmati in maniera attenta. Anch’essi, tuttavia, possono fornire una possibilità di attacco agli hacker. Il problema, infatti, è più spesso costituito dal sistema operativo del p.c. o dello smartphone quando non piuttosto, dallo strumento stesso. Un sistema infetto consente all’hacker di conoscere password e/o pin e quindi entrare nel conto corrente on line, disporre bonifici, ricariche e, quindi prelievi. Sarebbe opportuno dotarsi di un accesso “VPN” cifrato, meglio se fornito dalle principali aziende che offrono adeguati sistemi antivirus. Le VPN sono strumenti tramite i quali è possibile proteggere la propria connessione. Una VPN è un sistema che fa da tramite tra il computer dell’utente e i siti o i servizi/accessi utilizzati, nascondendo la sua identità (la connessione, tramite VPN, può risultare come proveniente anche da un altro paese) proteggendo il traffico in entrata e in uscita. Ma capiamo meglio: non occorre neppure che l’hacker sia così esperto da violare password e sistemi. Molto più spesso si tratta di un bravo manipolatore che raggira la vittima inducendola a fornire essa stessa quanto serve. Non è da ingenui cadere nelle trappole, gli inganni sono credibili e ben preparati. Di sicuro proteggere smartphone e pc con sistemi di sicurezza è fondamentale, ma essere diffidenti con chi rivolge/invia richieste poco comprensibili o illogiche è ugualmente importante per salvaguardare i dati e la privacy. Se parliamo dei sistemi di autenticazione a due vie, offrono di sicuro una garanzia ulteriore di identificazione dell’autore della disposizione o dell’accesso, ma quando una delle due vie è compromessa (esempio: la scheda telefonica è bloccata…. forse qualcun’altro sta utilizzando la numerazione?) la sicurezza non può più essere garantita ma anzi, proprio lo strumento che dovrebbe garantirla (il messaggio SMS inviato all’utente) diventa la via per effettuare accessi fraudolenti. In caso di non funzionamento della scheda telefonica su cui viene inviata la password/codice, meglio contattare l’operatore telefonico e verificare che non vi sia stato un blocco con la riapertura di una nuova scheda (sostituzione scheda). In tal caso è opportuno bloccare immediatamente gli accessi ed il conto corrente, usando il numero verde o altro a disposizione. Come evidenziato anche dalla Polizia di Stato, la tempestività è importante contattando la Banca e/o le Poste sporgendo denuncia, con evidenza dei tentativi di phishing e/o malfunzionamenti degli strumenti e/o sistemi. Infine è sempre importante verificare che la password di accesso ai siti (in particolare quelli bancari) non sia memorizzata di default sullo smartphone o pc, accertandosi sempre che il log out (chiusura della sessione di collegamento/accesso) sia stato effettuato e non memorizzare sul telefono o pc i codici di sicurezza, ma digitarli ex novo di volta in volta. Se adesso vi è venuta l’ansia, non vi preoccupate, è normale.