A distanza di pochi giorni, la Polizia di Stato fiorentina ha denunciato in stato di libertà un ventitreenne della provincia di Napoli ed un coetaneo della provincia di Salerno, autori di due distinte truffe online, ai danni di un uomo e di una donna, residenti in provincia di Firenze.
Grazie alla tempestività dell’intervento ed all’immediato avvio dei necessari approfondimenti investigativi, la Polizia postale è riuscita ad effettuare il sequestro preventivo delle somme frodate alle due vittime, per un totale di quasi 80.000 euro.
Smishing, vishing, avanzate tecniche di “ingegneria sociale”, strumenti ormai di uso comune da parte dei malviventi, che combinando i diversi sistemi di intrusione nell’ordinaria quotidianità delle vittime, riescono a carpirne la buona fede, inducendole in errore, mettendo fretta, creando ansia e pressione psicologica, col prospettare loro l’urgenza di intervenire subito, per non precisati problemi di sicurezza del proprio conto corrente…
La persona offesa viene, quindi, indotta a fornire informazioni personali, dati sensibili e codici di accesso o a cliccare su link fraudolenti, con un esito purtroppo inevitabile: il proprio denaro viene rapidamente sottratto ed inviato su conti di complici e prestanome, spesso all’estero, fino a diventare impossibile da rintracciare.
Nel primo caso di cui si è occupata la Polizia postale di Firenze, un anziano signore ha ricevuto improvvisamente un SMS, che lo avvisava della necessità di bloccare un movimento sospetto in uscita, indicando persino l’importo dell’ipotetica transazione. L’SMS conteneva il link ad una falsa pagina di autenticazione, in cui gli veniva chiesto di inserire i dati di accesso al suo home banking.
Si tratta di una tecnica ormai consolidata: i malfattori sono, così, in grado di “leggere” i dati di autenticazione, usandoli subito per accedere al vero conto della vittima e sottrarle la provvista presente, effettuando bonifici o altre operazioni, in questo caso oltre 29.000 euro.
Nel caso della donna, invece, è la telefonata di un falso operatore ad informarla di alcuni tentativi di hackeraggio del suo conto bancario, dicendole di cliccare sul link che le sarebbe stato inviato: l’epilogo è inevitabilmente lo stesso, si volatilizzano in pochi istanti ben 50.000 euro!
Per fortuna, in questo caso gli investigatori del Centro Operativo per la Sicurezza Cibernetica della Polizia postale per la Toscana sono stati in grado di individuare i due intestatari dei conti correnti beneficiari dei bonifici fraudolentemente effettuati, “congelando” l’importo al fine di impedire che il denaro potesse essere prelevato o inviato “a cascata” su altri conti, evitando un grave pregiudizio economico ai danni delle vittime.
Il sistema di raggiro delle vittime, che mira all’acquisizione illecita di codici dispositivi e dati riservati, si sviluppa, quindi, inizialmente mediante l’invio di falsi SMS, da parte di utenze telefoniche identiche a quelle di noti istituti di credito[1] (spesso proprio quelle della banca di cui si è clienti) o di fornitori di servizi. Poiché spesso il numero utilizzato è già memorizzato all’interno del dispositivo della vittima, i messaggi in questione non vengono riconosciuti dal software dello smartphone e quindi vengono automaticamente collocati in coda ad altri messaggi autentici in precedenza ricevuti. Può accadere anche che come mittente del messaggio non compaia un numero, ma la denominazione di un istituto di credito.
Tali espedienti inducono le ignare vittime, convinte della veridicità delle richieste, a fornire i dati di accesso e di autenticazione dell’home banking o altri codici e dati riservati, cliccando sul link malevolo che, in realtà, rimanderà allo spazio web utilizzato dal phisher.
In questo modo, il phisher sarà in grado di accedere rapidamente al conto della vittima e di effettuare operazioni dispositive in proprio favore.
In molti casi, i malviventi sono addirittura in grado di simulare un malfunzionamento della pagina, che non permette la prosecuzione della procedura di accesso ai servizi di home banking, avvisando l’utente che sarà a breve contattato da un operatore per la risoluzione dei problemi.
Effettivamente, dopo pochi minuti, la vittima riceve una chiamata in apparenza proveniente dal “numero verde” in uso alla banca, nel corso della quale il falso operatore, prospettando presunte criticità tecniche o l’urgenza di bloccare movimenti sospetti in uscita ad esclusiva tutela del “cliente”, riesce a farsi consegnare le “chiavi” di accesso al conto o i cosiddetti codici OTP, dispositivi delle operazioni, utilizzandoli per scopi fraudolenti, quali bonifici e pagamenti.
Le attività investigative svolte, in attesa di pronuncia definitiva da parte dell’A.G. procedente, non equivalgono ad affermazione di responsabilità penale degli indagati.
La Polizia Postale, al riguardo, consiglia:
- gli Istituti di credito o le Società che emettono carte di credito non chiedono mai l’invio o la conferma di dati personali tramite e-mail, SMS o telefonate. Bisogna sempre diffidare delle e-mail e degli SMS che, tramite link in essi contenuti, rimandano ad un sito web su cui viene chiesto di confermare i propri dati;
- nel caso si riceva un’e-mail, un SMS o una telefonata, che si pensa provengano dalla banca di cui si è clienti, con cui vengono richiesti dati personali riservati, occorrerà recarsi personalmente presso il proprio istituto di credito o chiamare il numero della propria banca, mai il numero indicato nella e-mail o nell’SMS;
- diffidare di comunicazioni con cui viene richiesto di spostare con un bonifico il proprio denaro su un altro conto, per presunti problemi di sicurezza;
- se l´e-mail o l’SMS sembrano autentici, è sempre bene diffidare del link con essi fornito e svolgere ulteriori verifiche, collegandosi al vero sito della banca, digitando direttamente l’indirizzo nel browser, senza mai utilizzare il predetto link (che rimanderebbe fatalmente alla pagina “clone”);
- verificare sempre che nei siti web in cui è richiesto di immettere dati (account, password, numero di carta di credito, altri dati personali), nella barra in cui compare l’indirizzo, sia presente, prima dell’indirizzo, la sigla di sicurezza “https” o l’immagine del lucchetto chiuso;
- modificare periodicamente le credenziali di accesso ai servizi on-line, evitando di usare la stessa password per più siti o per servizi diversi;
- ricordarsi di aggiornare il sistema operativo, quando richiesto;
- installare sul proprio dispositivo un buon antivirus ed un filtro anti-spam.
Il “Phishing”, infatti, si è progressivamente evoluto nello “Smishing” (parola che deriva dall’unione della sigla “SMS”, ossia messaggio di testo inviato tramite cellulare e “phishing”) e nel “Vishing” (ossia, “voice” e “phishing”, tecnica che consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale un finto operatore di banca, attraverso raggiri ed argomentazioni capziose, la persuade a fornire i codici dispositivi del proprio rapporto finanziario).
[1] Un servizio internet denominato “Alias” fa comparire quale origine dell’SMS una sequenza numerica scelta a piacere dal mittente, che, nel caso in questione, riconduce alla banca di cui è cliente la persona offesa.
