Truffe bancarie tramite sms: come tutelarsi dal phishing

phishing

Per non cadere nella trappola delle truffe bancarie bisogna imparare a difendersi dal fenomeno del phishing. Esempio: mai rispondere a sms che sembrano inviati da un vostro amico o parente. Mai cliccare sui link o cedere dati personali. Ecco i consigli per non finire nella “rete” e come comportarsi nel caso ci siate finiti

Le truffe bancarie tramite sms, o spamming, sono diventate talmente prevedibili che risulta quasi impossibile non riconoscerle. Il segreto è sempre lo stesso: risalire alla fonte e non cliccare o cedere informazioni riservate. La differenza rispetto al passato è che oggi questi messaggi giungono su più canali di comunicazione, essendo questi numerosi. Non solo sms, ma anche email, comunicazioni su Telegram o nella messaggeria privata di Instagram e Messenger.

Eppure, secondo un’indagine realizzata nel 2019 da Toluna per il quotidiano La Stampa, solo il 17,93% degli intervistati sarebbe in grado di identificare tutti i diversi tipi di phishing (tra cui email o sms contenenti link malevoli o siti web che replicano delle pagine legittime). Questo perché si fa poca informazione e l’affollamento semantico nell’era delle comunicazioni di massa genera confusione. Basta poco per distrarsi e cadere nella rete dei “phisher”, i truffatori. E con i deepfake, inoltre, le cybertruffe potrebbero diventare ancora più difficili da smascherare.

In linea generale, questi messaggi si riconoscono per stile di scrittura (spesso sono tradotte goffamente in italiano e riportano errori di sintassi e grammatica). Sono inviate da domini che gli emittenti ufficiali non potrebbero possedere. Il più frequente è il caso delle Poste italiane; è sufficiente dare un’occhiata all’indirizzo del mittente per comprendere immediatamente che non è possibile sia stato inviato da un indirizzo vero e ufficiale.

Cos’è il phishing

Questo fenomeno truffaldino si chiama phishing. È un tipo di truffa effettuata su Internet, o tramite sms, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.

Il termine phishing è una variante di fishing (letteralmente “pescare” in lingua inglese). Allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente.

Non conosci il Salvagente? Scarica GRATIS un numero della nostra rivista cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente

Sì! Voglio scaricare gratis il numero di novembre 2021

Si tratta di un’attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, note legittime di fornitori di servizi. Tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando messaggi di posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS. Più di recente anche messaggi nell’account privato di Instagram o Facebook.

Spesso riportando dei link con l’invito a cliccarci sopra. Oppure vi invitano a scaricare software antivirus che invece sono malware che entrano nel vostro sistema.

Come avviene la truffa bancaria

È importanti esplorare le fasi in modo da difendersi al meglio. Ecco come avvengono una truffa bancaria o un attacco hacker.

  • L’utente malintenzionato e sconosciuto (detto phisher) spedisce a un utente (la vittima) un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto, le Poste, il Ministero della Sanità, e altri ancora).
  • A questo punto la vittima riceve l’e-mail che contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente o account (ad esempio un addebito enorme, la scadenza dell’account di posta elettronica, entrate o uscite dal conto bancario, ecc.) oppure un’offerta di denaro troppo generosa. Anche offerte di lavoro a cui proprio dire di no.
  • ATTENZIONE: Quasi sempre l’email, l’sms o il messaggio privato su Instagram e Messenger, contengono un link. Il mittente truffatore invita il destinatario del messaggio a cliccare per evitare l’addebito e/o per regolarizzare la sua posizione debitoria con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Si chiama “Fake login”).
  • Qualora decideste di cliccare, il link vi collega a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema. Anche con messaggi urgenti o subdoli, che quando si è presi dalla frenesia quotidiana possono colpire di più. Queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato. A questo punto siete caduti nella trappola.
  • Il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi anche a contatti collegati al destinatario.

Le nuove truffe

Ultimamente si sta diffondendo una nuova modalità di truffa. Il truffatore manda un sms spacciandosi per una persona di vostra conoscenza e a voi collegata. Vi chiede di inviargli su whatsapp il codice che trovate in questo sms. In realtà quella persona è un clone del vostro amico o conoscente. Qualora decideste di inviargli il codice, egli avrà accesso ai vostri profili e account. Succede perché il truffatore sta clonando account veri.

Le truffe del conto corrente e il riciclaggio di denaro sporco

Spesso i messaggi e le email truffaldine contengono l’invito a cogliere una nuova “opportunità di lavoro” (quale operatore finanziario o financial manager). In realtà è una trappola per ottenere le coordinate bancarie del proprio conto online e ricevere l’accredito di somme che vanno poi ri-trasferite all’estero tramite sistemi di trasferimento di denaro (Western Union o Money Gram), trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte.

In questo caso si tratta del denaro rubato con il phishing. Il titolare del conto on line beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco. Quest’attività comporta per il phisher la perdita di una certa percentuale di quanto è riuscito a sottrarre, ma esiste comunque un interesse a disperdere il denaro sottratto in molti conti correnti e a fare ritrasferimenti in differenti Paesi, perché così diviene più difficile risalire alla identità del criminale informatico e ricostruire compiutamente il meccanismo illecito.

Se siete in buona fede, potreste comunque essere chiamati dalle autorità che indagano. In altri casi, invece, il ricevente si finge ignaro ma è complice del truffatore per riciclare denaro sporco e trasferirlo all’estero.

Quali sono i tipi di phishing

Spear phishing

Un attacco mirato verso un individuo o una compagnia è stato denominato spear phishing. Gli attaccanti potrebbero cercare informazioni sull’obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.

Clone phishing

È un tipo di phishing in cui una mail legittima viene modificata negli allegati o nei link e rimandata ai riceventi, dichiarando di essere una versione aggiornata.

Whaling

Di recente molti attacchi di phishing sono stati indirizzati verso figure di spicco di aziende o enti e il termine whaling è stato coniato per questi tipi di attacco.

Phishing telefonico

La vittima riceve una telefonata e viene chiesto il proprio Pin. Il vishing (voice phishing) qualche volta utilizza un finto numero di chiamante, in modo da dare l’apparenza di un’organizzazione fidata. In alcuni casi il phisher cerca di ottenere in maniera fraudolenta tramite WhatsApp, non dati finanziari o codici pin, ma copie di documenti d’identità che utilizzerà poi per successive truffe.

Phishing tramite SMS

Si chiama SMishing l’imbroglio perpetrato tramite sms.

Come difendersi dalle truffe bancarie

  • Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio non cliccare proprio ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser.
  • Usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Meglio non sfruttare connessioni sconosciute o wi-fi pubblici, senza una password di protezione.
  • Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina.
  • Non condividere mai i propri dati sensibili con una terza parte. Anche con chi conoscete, perché potrebbe trattarsi di un clone del vostro conoscente. E poi, le compagnie ufficiali o governative non chiedono mai informazioni sensibili e riservate via email, o per sms e messaggi in account vostri privati.

Come riconoscere i link trappola

La maggior parte dei metodi di phishing usa degli exploit tecnici per far apparire i link nelle mail come quelli autentici. Altri trucchetti diffusi sono utilizzare URL scritte male, oppure usando sottodomini, come ad esempio http://www.tuabanca.it.esempio.com/, che può sembrare a prima vista un sito legittimo, ma in realtà sta puntando a un sottodominio di un altro sito.

Un’altra metodologia è registrare un dominio lavorando su lettere visivamente simili, ad esempio “a” ed “e” oppure, utilizzando lo stesso dominio, cambiano il suffisso da “.it” a “.com”.

Un altro metodo usato dai truffatori è quello di inserire la @ dopo l’indirizzo reale, seguita dall’indirizzo fraudolento, camuffando il secondo con un formato differente (ad esempio: IP); in questo modo l’utente truffato viene indirizzato all’indirizzo fraudolento, essendo il testo che precede la chiocciola ignorata dal browser.

Cosa fare dopo essere caduti nella trappola?

Niente panico.

  • Se avete scaricato un file dannoso (come un finto software antivirus), bloccate subito l’attacco scansionando lo smartphone o il pc. Bisogna ripulire il dispositivo dai malware.
  • Se avete ceduto i dati di accesso modificate tutte le password e account. Nel caso, potete contattare il servizio clienti o il fornitore dell’account violato.
  • Aumentate i filtri di sicurezza del pc o del cellulare.
  • Se qualcosa si muove sul vostro conto in banca o alla posta, allora dovrete rivolgervi alla Polizia postale dopo aver immediatamente bloccato le carte.