La Truffa Che Viene Dal Call Center - Securing The Human

OUCH! | Luglio 2012
IN QUESTO NUMERO
• Introduzione
• La Truffa
• Come Proteggersi
La Truffa Che Viene Dal Call Center L’AUTORE DI QUESTO NUMERO
A questo numero ha collaborato Lenny Zeltser. Lenny si
che illustreremo in questo articolo: si riceve una chiamata
occupa normalmente della salvaguardia delle attività IT di
da una persona che dichiara di far parte di un’azienda di
NCR Corp e insegna come combattere il malware al SANS
supporto informatico o telefonico partner di un’azienda
Institute. Lenny è attivo su Twitter come @lennyzeltser e
realmente esistente. Il chiamante dichiara di aver
scrive inoltre un blog sulla Sicurezza su blog.zeltser.com.
individuato che il vostro computer si comporta in modo
anomalo, ad esempio che analizza sistemi remoti o che ha
INTRODUZIONE
totalizzato un numero consistente di visite a siti a
Alla base di molti attacchi informatici ci sono criminali che
virus. Viene spiegato inoltre che il problema è in corso di
tentano di sottrarre denaro o ingannare ignare persone allo
analisi e che sarete aiutati a proteggere il vostro computer.
scopo di recuperare informazioni personali. L’esempio più
Parlando senza soluzione di continuità, il sedicente tecnico
comune è costituito dalle email fraudolente (phishing) che,
utilizzerà poi una discreta gamma di termini tecnici allo
all’apparenza, sembrano provenire da una persona o da
scopo di convincervi che il vostro computer è stato infettato
una società di fiducia, come un amico o la vostra banca.
da malware, inducendovi un timore che vi dovrebbe
Esiste però un altro tipo di minaccia che non ha ancora
condurre a comprare il loro prodotto o l’abbonamento a un
goduto della stessa fama del phishing: si tratta della truffa
servizio di protezione.
pagamento, o ancora che si sospetta sia infettato da un
al telefono. In questa newsletter spiegheremo come
funziona questo tipo di frode, con particolare riguardo alle
chiamate provenienti dal sedicente addetto di un call
center, e mostreremo cosa fare per proteggersi.
LA TRUFFA
Ad esempio, potrebbero iniziare chiedendovi di scaricare e
installare un programma dal loro sito web o utilizzare un
servizio online che darà loro la possibilità di accedere al
vostro computer in modo da poter risolvere il problema:
tutto nel vostro interesse (!!). In realtà si tratta di programmi
Non esistono due truffe esattamente uguali tra loro,
di accesso remoto, come LogMeIn.com o ShowMyPC.com,
sebbene esse comprendano spesso molti degli elementi
che normalmente non vengono individuati come virus dai
software antimalware.
© The SANS Institute 2012
http://www.securingthehuman.org
OUCH! | Luglio 2012
La Truffa Che Viene Dal Call Center
Per mezzo del telefono, il truffatore vi guiderà attraverso
diverse configurazioni e programmi del vostro computer: la
persona tenterà di convincervi che sta intraprendendo delle
azioni per investigare l’infezione da virus che sta piagando
il vostro computer. Il chiamante potrebbe essere in grado di
disabilitare servizi legittimi, sempre presenti in un sistema
Windows, affermando che i servizi sono, a tutti gli effetti,
dei programmi maligni.
Manomettendo in questo modo il vostro computer,
cercheranno di farvi credere che è stato infettato da un
malware, e che l’unico modo per sistemare il problema sia
di comprare il loro prodotto o pagare un costoso
abbonamento annuale al loro servizio. Il loro obiettivo finale
è di ottenere il controllo del vostro computer, impossessarsi
del vostro denaro e raccogliere le vostre informazioni
personali.
Ricordate: ogni cosa che viene raccontata è una
menzogna, non cadete in trabocchetti del genere. La
ragione per cui i criminali utilizzano il telefono invece della
email è che non esiste ancora una tecnologia che vi possa
proteggere da truffe telefoniche di questo tipo. Inoltre, le
chiamate telefoniche sono un potente metodo usato dai
criminali per sollecitare emotivamente la vittima e indurgli
un senso di urgenza con lo scopo di aumentare le
probabilità di farla cadere in un tranello. La miglior
protezione per questo tipo di attacchi non è la tecnologia:
siete voi stessi.
COME PROTEGGERSI
A volte le aziende di cui utilizzate i servizi, come la vostra
banca o l’azienda che gestisce le vostre carte di credito,
potrebbero telefonarvi per confermare le vostre
© The SANS Institute 2012
Agite con la dovuta cautela quando qualcuno vi chiama per chiedervi l’accesso remoto al vostro computer o vi fa pressione per farvi acquistare un prodotto. Queste chiamate sono molto probabilmente delle truffe
informazioni sul conto o per aggiornarvi su un’operazione.
La sfida è determinare se queste chiamate provengono da
società reali oppure se si tratta di truffe. Ecco alcuni
suggerimenti per proteggervi al meglio.
http://www.securingthehuman.org
OUCH! | Luglio 2012
La Truffa Che Viene Dal Call Center
●
Quando qualcuno vi chiede informazioni al telefono
RISORSE
siate sospettosi e chiedete conferma della sua
Alcuni dei link presenti in questa newsletter sono stati
identità. Chiedetegli per quale azienda lavora. Se
accorciati per migliorarne la leggibilità utilizzando il servizio
non avete mai sentito parlare di quella società, ci
TinyURL.
sono buone probabilità che si tratti di un tentativo di
frode. Se si tratta invece di un’azienda che
Truffe telefoniche, come riconoscere le chiamate dei falsi
conoscete, rispondete semplicemente che siete
call center
momentaneamente impegnati, chiedete il loro
http://tinyurl.com/7byhutv
nome e dite loro che li richiamerete più tardi.
Consultate poi il sito web della società o altre
Evitare la truffa di assistenza tecnica telefonica (Svizzera)
informazioni cha avete a vostra disposizione,
http://tinyurl.com/7ocn6f7
recuperatene il numero telefonico e richiamateli
●
Se chi vi chiama cerca di creare un senso di
Polizia postale e delle comunicazioni (Italia)
urgenza o vi sottopone a una certa pressione per
http://poliziadistato.it/articolo/982/
fare in modo che intraprendiate un’azione, si tratta
probabilmente di una truffa.
●
Non fidatevi del numero del chiamante per
PER SAPERNE DI PIÙ
autenticare una telefonata. È semplice per criminali
Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza
con discrete competenze tecniche falsificare il
informatica, consultate i suoi archivi e approfondite le
numero del proprio telefono in modo da far credere
soluzioni di sicurezza di SANS visitandoci presso
che la telefonata sia effettuata dal numero
http://www.securingthehuman.org.
appartenente a un’altra azienda.
●
●
Non dare mai la password al telefono. Nessuna
VERSIONE IN ITALIANO
azienda vi chiederà mai la vostra password.
La versione in italiano è curata da Advanction S.A.,
Non dare mai informazioni che dovrebbero già
un’azienda impegnata nella Sicurezza, nel Risk
essere in loro possesso. Ad esempio, un impiegato
Management Operativo e nella Security Awareness.
della vostra banca che vi contatta dovrebbe già
Seguila su http://www.advanction.com e su Twitter
avere il vostro numero di conto corrente.
(@advanction).
OUCH! è pubblicata dal programma Securing The Human di SANS ed è distribuita con licenza Creative Commons BY-­‐NC-­‐ND 3.0. Questa newsletter può essere distribuita solo se ne viene citata la fonte, se i suoi contenuti non vengono modificati e se non viene usata per scopi commerciali. Per traduzioni e per ulteriori informazioni, contattare [email protected]. right now Redazione: Bill Wyman, ixing Walt tShem crivens, Phil Hoffman, Lance Spitzner Versione in italiano curata da Advanction S.A.: Stefano Bonacina, Silvestro Maestri, Giorgio Ferrari © The SANS Institute 2012
http://www.securingthehuman.org