«Banche, occhio! Contro i pirati siate in cima alle ricerche di Google»

La notizia ha colpito i risparmiatori ticinesi come un fulmine a ciel sereno: alcuni clienti di BancaStato si sono scoperti essere vittime di una frode, purtroppo andata a segno. Inconsapevolmente, hanno fornito le credenziali di accesso ai propri conti, lasciando campo libero ai malintenzionati che si trovavano dall'altra parte dello schermo. Cadere in una trappola del genere è più facile di quanto si possa pensare. La tecnica si chiama phishing, dall'inglese pescare, come a voler richiamare la strategia messa in campo: getta l'amo, che prima o poi qualcosa abbocca. E qualcosa, alla fine, ha abboccato.

L'amo, in questa metafora, è rappresentato da un sito internet del tutto identico a quello usato abitualmente per accedere e gestire i propri soldi. È sufficiente che l'utente ingenuo ci metta la preziosa combinazione nome utente/parola chiave e per i pirati informatici è fatta. Ecco un grimaldello digitale per scassinare la sua cassaforte personale. I criminali non devono far altro che inserirli nel vero sito, quello originale della banca. Ma com'è possibile che un utente vada a cliccare un sito finto? La spiegazione arriva dagli esperti di AvantGrade.com, l'agenzia digital ticinese specializzata nel settore Finance di Ale Agostini.

«Molte persone cercano su Google il nome della propria banca e la parola login, vale a dire accesso», dice al Corriere del Ticino titolare dell'agenzia di comunicazione digitale e analisi di mercato con sede a Balerna. «Succede che se i pirati informatici sono in grado di superare nell'indicizzazione il sito web "vero" con il loro sito "finto", si rischia le persone ci clicchino sopra senza pensarci troppo». Tradotto: se la tua pagina è in cima ai risultati, sarà cliccata. E se sei un pirata e la tua pagina è al primo posto dopo che l'utente ha cercato il nome della sua banca... beh, c'è poco da fare. «In questo caso, è proprio l'istituto di credito che deve preoccuparsi di difendere la sua posizione nell'ecosistema dei motori di ricerca». Una posizione da presidiare e difendere con tutte le forze. «Bisogna vederla come una sorta di assicurazione contro i pirati», aggiunge il 47.enne.

Il problema, però, è così sentito che pure il colosso di Mountain View ha deciso di prendere delle misure contro la diffusione sempre più imponente di questo genere di truffe. «Il gigante dei motori di ricerca ha annunciato che utilizzerà un nuovo approccio che mira a ridurre i rischi e, nel contempo, aiuterà a prevenire eventuali annunci ingannevoli», spiega Elena Salviato, collaboratrice di AvantGrade.com nel ruolo di Digital marketing manager & Client partner.

«Da sempre l'azienda statunitense ha molto a cuore tutto quel che riguarda il mondo della finanza e della salute. I siti che rientrano in queste due macro aree, storicamente, sono sempre stati sotto la lente d'ingrandimento di Google. L'ultima comunicazione su questo tema, poi, riguardava l'intenzione di prendere una sorta di periodo per conoscere meglio gli inserzionisti che operano nel mondo finanziario, per capire se effettivamente sono sicuri», aggiunge la 35.enne.

Salviato spiega come la nuova filosofia sia, in realtà, già entrata in funzione. Compilare moduli, però, potrebbe non essere abbastanza. «Da una parte, è importante che gli utenti restituiscano dei riscontri a Google. E che siano riscontri positivi sull'attività o sul servizio che si vuole pubblicizzare. Dall'altra, conta anche molto la nostra storia, intesa come maturità del nostro account pubblicitario».

Oltre ai soldi, insomma, ci vuole autorevolezza. «È essenziale avere uno storico "pulito" di reciproca collaborazione con Google. Nel caso in cui sia così, questo aspetto sarà valutato in maniera positiva». Ma c'è di più. «In queste settimane, chi opera nel mondo finanziario potrebbe vedersi recapitare una richiesta di Google per la verifica dell'identità degli inserzionisti». Completare questo processo, prosegue l'analista, «rappresenterà un passaggio chiave per costruire una fiducia solida nei confronti di Google».

Ecco dunque la ricetta per diventare inserzionisti di primo livello sul principale motore di ricerca. Oltre, ovviamente, alla «qualità del sito su cui facciamo pubblicità. Occorre prestare molta attenzione alla coerenza e soprattutto alla sicurezza del sito web in questione». Aziende specializzate SEO (acronimo delle pratiche per far apparire i siti ai primi posti dopo il fatidico clic da parte dell'utente) come AvantGrade si occupano di seguire questo genere di processi.

Il problema alla base della «pesca» di credenziali che va a buon fine, secondo Alessandro Agostini, è anche della "pigrizia" degli utenti: «Se cerco il nome della mia banca seguito dalla parola login e ottengo un link al primo posto in Google, sono convinto di aver preso la strada giusta. Soprattutto se, una volta cliccato, la pagina che si apre è del tutto simile a quella del portale che uso di solito per i pagamenti o per gestire il mio denaro. Google veicola questo traffico erroneamente verso siti cloni». Da lì a svuotare il conto, poi, ci vuole davvero poco.

Il nostro interlocutore sottolinea come il sessanta, anche settanta per cento dei clic si concentri proprio sui risultati in cima alla pagina. «Le banche devono capire bene questo concetto. Non è possibile, al giorno d'oggi, non presidiare i risultati di ricerca di Google».

Un lavoro che finora poteva essere interessante solo per la ricerca di nuovi clienti. Ma che, con gli ultimi sviluppi «è interessante per la prevenzione di attacchi sulla pagina di accesso. È come una sorta di assicurazione contro i pirati informatici, insomma». Il messaggio è forte è chiaro: «Attenzione, è necessario presidiare molto bene i risultati dei motori di ricerca ed in particolare i primi due/tre, dove si concentrano la maggior parte delle aperture».

Se ai primi posti c'è il sito originale anziché il clone dei pirati informatici, l'attacco in stile phishing ha buone probabilità di essere parato, conclude l'esperto.

In ottica di prevenzione, Ministero pubblico e Polizia cantonale ricordano alcune importanti regole di sicurezza da rispettare nell'utilizzo dell'e-banking:

Nel corso degli anni, ci sono stati numerosi attacchi di phishing che hanno avuto un impatto significativo su aziende e organizzazioni in tutto il mondo. Tre dei più noti sono l'attacco alla FACC nel 2015, l'attacco a Sony Pictures nel 2014 e l'attacco a Colonial Pipeline nel 2021.

Nel 2015, la FACC, un produttore austriaco di componenti per aeromobili, è stata vittima di un attacco che le è costato quasi 61 milioni di dollari. Un hacker ha inviato un'email fasulla al dipartimento finanziario della FACC, fingendo di essere il direttore generale dell'azienda e richiedendo il trasferimento di 56 milioni di dollari su un conto esterno. Questo incidente ha portato al licenziamento del direttore generale e del direttore finanziario dell'azienda.

Nel 2014, Sony Pictures è stata colpita da un attacco da parte di un gruppo di hacker che si identificava come «Guardiani della Pace». Gli hacker hanno rilasciato una grande quantità di dati riservati dell'azienda, tra cui informazioni personali sui dipendenti di Sony Pictures e le loro famiglie, email tra i dipendenti, informazioni sugli stipendi dei dirigenti dell'azienda, copie di film Sony non ancora rilasciati e piani per le future produzioni della casa.

Nel 2021, Colonial Pipeline, l'operatore del più grande oleodotto negli Stati Uniti, ha subito un attacco ransomware che ha costretto l'azienda a interrompere le operazioni. L'attacco ha causato carenze di carburante diffuse nel sud-est degli Stati Uniti e acquisti di panico. L'azienda ha ripreso le operazioni normali dopo aver pagato quasi cinque milioni di dollari come riscatto ai cybercriminali.