Phishing bancario di ultima generazione: cos’è?

Quante volte vi abbiamo parlato di frodi e truffe? Tantissime. E non solo noi: ne parlano spesso anche stampa, radio e tv, inclusi programmi estremamente popolari. Eppure, questa settimana sono accaduti due piccoli episodi che ci hanno fatto riflettere.

Due persone, incrociate del tutto casualmente e che assolutamente non si conoscono tra di loro, che hanno raccontato di essere cadute in altrettante trappole “svuota-conto” progettate e messe a terra, diciamo così, nella stessa identica maniera.

Spieghiamo. Una delle due persone – una donna matura ma non troppo avanti negli anni – ha ricevuto un sms apparentemente proveniente dalla sua banca e contenente l’invito ad accedere al suo conto tramite un certo link. Lo ha aperto e vi ha inserito le sue credenziali bancarie, consegnandole di fatto a cyber-criminali.

L’altra persona – un uomo sui 50 – ha invece ricevuto una vera e propria telefonata, solo all’apparenza proveniente dal servizio clienti della sua banca. Il finto operatore gli ha chiesto i codici del suo conto, dicendogli che gli servivano per bloccare un illecito tentativo di prelievo da parte di altri. Anche lui ha fornito i codici. E si è ritrovato col conto svuotato.

Frodi e truffe: non ci cascano solo gli anziani

Ciò che ci ha colpito è stata l’età delle due persone: una donna e un uomo normalissimi, tutt’altro che collocabili, anagraficamente parlando, nella fascia d’età dei cosiddetti “grandi anziani”. Persone, insomma, dotate di tutti gli strumenti per ricevere dai media e dal web una corretta e approfondita informazione su questi nuovi tentativi di frode e truffa, onde naturalmente evitare di caderne vittime.

Noi, per l’appunto, quante volte ve ne abbiamo parlato? Eppure, ecco: questa è la prova che tante volte non sono ancora abbastanza. E allora facciamo un ripasso, con l’ausilio delle indicazioni della Polizia Postale.

Occhio al phishing bancario di ultima generazione

L’hanno ribattezzata “Operazione Numero Verde”: secondo le indagini, alcuni soggetti, “attraverso una stabile organizzazione”, si sono procurati liste di numeri telefonici ai quali inviare sms e/o telefonate.

Tutto secondo il copione delle frodi perpetrate attraverso lo “smishing-vishing”: in entrambi i casi, gli ignari titolari dei numeri telefonici ricevono comunicazioni “che sembrano provenire dalla propria banca” e che contengono l’invito “ad accedere al proprio conto on-line mediante un web-link” o a fornire i loro codici.

Smishing-Vishing: di cosa stiamo parlando?

Lo “smishing”, ci ricorda infatti la Polizia Postale, “si concretizza attraverso messaggi sms malevoli che, per una mera affinità semantica, si collocano in coda ad altri messaggi autentici ricevuti dalla banca”.

Cioè, voi sul vostro telefono li visualizzate nella conversazione già aperta con la vostra banca, cosa che induce a non dubitare della loro autenticità.

Fatto sta che “tali sms contengono link di rinvio a pagine di phishing dove l’utente, ritenendo di operare sulla pagina veritiera, è indotto a inserire le proprie credenziali bancarie, consegnando così i propri dati ai cyber-criminali”.

Capito? Vi ritrovate su una pagina web che sembra vera, proprio come l’sms, e questo vi persuade definitivamente a procedere con l’inserimento degli ambitissimi (dai malintenzionati, naturalmente) dati.

E il vishing? “La tecnica del vishing invece consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale un finto operatore di banca, attraverso raggiri e argomentazioni capziose, la persuade a fornire i codici dispositivi del proprio rapporto finanziario”.

Con quale scusa? “È frequente, nel corso di tali chiamate, che il truffatore prospetti alla vittima la necessità di ottenere il suo codice al fine di bloccare alcuni tentativi illeciti di prelievo operati da terzi”.

Capito, no? Per fregarvi, vi dicono che qualcuno sta tentando di fregarvi. Sarebbe quasi buffo, se non fosse seriamente drammatico.

Attenzione, perché è qui che arriva il brutto: “Sfruttando questo momento di incertezza, i criminali ottengono le credenziali di accesso ai conti correnti, che subito dopo provvedono a svuotare”.

“Ma come hai fatto a cascarci?”

Eh, già. Tutte volpi, col senno di poi. Ma, ci spiega ancora la Polizia Postale, “la frode è particolarmente subdola poiché le chiamate sembrano arrivare dal numero della propria banca”.

Da qui, l’appellativo di “Alias”. Sembra tutto vero, insomma, e il correntista “abbassa il proprio livello di allerta”.

Questa frode, in particolare, si concludeva “con ingenti prelievi di somme di denaro presso ATM abilitati all’incasso con modalità cardless”.

Ma noi vi ricordiamo sempre che i dati sottratti con modalità analoghe a queste possono essere utilizzati anche per richiedere prestiti a vostro nome: il malfattore li incassa, ma non ci pensa proprio a restituirli; la società creditizia, dal canto suo, ha il vostro nominativo, ed è quello che segnala ai Sic e alla Centrale Rischi quando vede che le rate del rimborso non arrivano.

Capita che la vittima lo scopra dopo mesi, se non anni: per esempio, quando va a chiedere un prestito che gli viene negato perché, come si dice in gergo, è un “cattivo pagatore”.

Insomma, guardia alta. Se vi mandano un sms, non fate nulla e non aprite nessunissimo link. Se vi contattano al telefono, chiedete di essere richiamati più tardi. Nel frattempo, fate immediatamente una verifica con la vostra banca. Vi dirà che la banca non manda sms né fa telefonate per chiedere i vostri dati. Perché ce li ha già.