Si moltiplicano in queste settimane i tentativi di truffa legati all’emergenza sanitaria Covid-19. Dopo le numerose segnalazioni di phishing sui social, via WhatsApp, sms, spam vari, falsi buoni spesa, abusivi a domicilio, truffe da remoto più o meno subdole assistiamo ad inganni sempre di più alta ingegneria, capaci di stravolgere un’economia già fortemente sofferente. Stratagemmi, imbrogli, raggiri, falsi, simulazioni, artifizi, espedienti, furbizie, scaltrezze, finzioni di ogni genere, dalle meno impattanti a quelle sofisticatissime, le frodi di questi tempi viaggiano silenti e mietono vittime ignare di ogni fascia d’età, cultura e professionalità.
La sfida del truffatore seriale è quella di colpire massivamente nel modo più verosimilmente simile ad un’azione lecita, anzi spesso percepita come benevola. La truffa può essere considerata la frontiera estrema della persuasione. In essa si realizza un vero paradosso comportamentale: l’induzione di comportamenti autolesionistici spontanei in soggetti normali nella quotidianità. Rappresenta l’arte del raggiro più estrema, ma allo stesso tempo sottile, tanto travestita dalla “normalità” da indurre la vittima a compiere gesti spontanei, autolesionistici. Per contro i comportamenti posti in essere dal truffatore non sono affatto spontanei, come sono percepiti dalla povera vittima, ma rappresentano il risultato di mosse accuratamente concertate da abilissime menti, che ricorrono ad un ricco repertorio di astuzie, mistificazioni e sottigliezze soprattutto psicologiche. Una seduzione orchestrata e pianificata in una modalità talmente aderente alla realtà da confondere appunto il bersaglio. Rappresenta una pratica illegale, un inganno diretto a ledere un diritto altrui, un’astuzia malvagia con cui si sorprende l’altrui buona fede. Con la diffusione della tecnologia l’astuzia psicologia ha trovato un acceleratore potentissimo. Da sempre il reato della truffa rappresenta una vera trappola per molti, ma in tempo di emergenze le modalità di attuazione, da un lato e le vittime ignare dall’altro crescono a livello esponenziale.
Dall’inizio di Marzo a oggi, si sono registrati numerosi tentativi di truffe online attuate attraverso e-mail, PEC e, in alcuni casi, mediante vere e proprie campagne malware che fanno leva sull’emergenza sanitaria in corso. I malware sono software malevoli veicolati prevalentemente tramite e-mail in grado di istallarsi nei computer, nei dispositivi mobili e nelle reti aziendali per rubare informazioni personali, accedere ai dati delle vittime e danneggiare i sistemi informativi, il tutto con lo scopo finale di ottenere un profitto economico. Scelte obbligate dettate dall’emergenza favoriscono i criminali. Stare in smart working senza le dovute cautele e protezioni aziendali rende appetibile e veicolabile più facilmente un tentativo di frode. I criminali cavalcano le emergenze: celati dalla rete studiano le vittime, sfruttano vulnerabilità e preoccupazioni. La paura diventa la loro opportunità per architettare loschi affari. Secondo stime aggiornate dell’intelligence, la quantità di crimini informatici nell’Unione Europea è spaventosamente in crescita. Svariati i vademecum suggeriti dalle autorità per evitare di cadere nelle trappole: la segnalazione è d’obbligo, ma conoscere il fenomeno per intercettarlo rappresenta una scelta non più rimandabile. Occorre tutelarsi e prevenire. La diffidenza appare un must, così come la prudenza. Ma innanzi ad ogni buonsenso, la conoscenza rappresenta lo strumento migliore di difesa: l’informazione è potere.
Le ultime modalità di attacchi invertono i consueti paradigmi in parte noti, poiché sfruttano l’inconsapevolezza dei consumatori, che finiscono in una trappola studiata ad hoc. E’ questo il caso delle più recenti astuzie in tema di minacce digitali. I cyber criminali fanno leva proprio sull’emergenza del coronavirus Covid-19 per scatenare le loro campagne di malware, truffe e attacchi online, per entrare nei sistemi, prenderne il controllo, rubare i dati.
Una tipologia di attacco emerso in questo periodo di pandemia è quello cosiddetto watering hole. Questo attacco prende il nome dal regno animale: in italiano il significato letterale è “pozza d’acqua” e l’associazione nasce dalla strategia dei predatori, che aspettano le loro prede proprio nei pressi delle pozze d’acqua, dove quelle dovranno andare ad abbeverarsi. Notare l’ingegnosità! Allo stesso modo, in un attacco di tipo watering hole i cyber criminali individuano un sito web o un servizio online che una persona o un gruppo specifico target utilizzano spesso, per poi attaccarlo e infettarlo con malware, che a loro volta infetteranno gli utenti che lo visitano. Se il bersaglio è la rete di un’azienda o di un’organizzazione, basta infettare una singola postazione per poi consentire al cyber attacker di accedere al network, impossessandosi di tutti i dati.
Questo tipo di attacco è molto pericoloso, perché basta compromettere un sito per esporre potenzialmente al malware un vasto gruppo di destinatari. Inoltre, al contrario del phishing nelle email, verso cui ormai tutti gli utenti dovrebbero avere un certo livello di diffidenza di base, qui sono gli utenti stessi a collegarsi al sito compromesso, che rientra nei loro interessi e che, essendo inconsapevoli dell’attacco, ritengono affidabile. A lanciare l’allerta sono sia le società di cybersecurity sia le istituzioni. Nella lista dei Paesi più colpiti, l’Italia è quarta a livello globale per spam ricevuto e sesta per numero di file malevoli rilevati.
Le aziende oggi più che mai sono nel mirino della criminalità informatica ed organizzata, si temono realisticamente importanti infiltrazioni, sia da parte di attacchi cyber, che da parte di organizzazioni mafiose proprio per la scarsità di liquidità, che renderà molto più corruttibile fasce di persone che mai si sarebbero prestate. Occorre verificare costantemente la solidità e l’eticità di coloro che ci circondano e con i quali ci si mette in affari e munirsi di protezioni adeguate, al fine di scongiurare il più possibile attacchi che oramai sono quotidiani. Oggi non occorre chiedersi se si subirà un attacco, ma quando questo accadrà.
Notevoli sono le risorse d’inventiva in dote al truffatore, come intuito psicologico, improvvisazione e gestione d’imprevisti, simulazione e dissimulazione. Un percorso cerebrale complesso da veicolare al destinatario/bersaglio con tecniche mai improvvisate. Tutt’altro, il truffatore ha conoscenze ed un pragmatismo sulla natura umana di alto profilo, che gli consente di mettere in scena uno scenario fittizio così ben costruito da apparire una scelta sicura. Le vulnerabilità sono le crepe predilette dove gli inganni si insinuano con travestimenti sempre più appeal. Le tecniche messe a terra sono così numerose che prevederle sarebbe utopico, ma certamente realistico invece è non abbassare la guardia, né sottovalutare il tema.
In primis, occorre non restare ciechi o isolati, ma munirsi di consulenze mirate e preventive per porre in essere contromisure efficienti. Chi si occupa di indagare e combattere le frodi, sa bene che in questo campo non si è mai sufficientemente esperti, ma sempre vulnerabili e si può correre il rischio persino di essere ingannati della propria conoscenza dei fenomeni dell’inganno. Il che conferma la necessità di continuare a studiare, nuotando “protetti” in un mare pieno di squali.
Marilena Guglielmetti,
investigatore e criminologo, esperta comportamento criminale e neuroscienze forensi