La banda del “vishing“ svuota i conti bancari in tutta Italia: Come difendersi dalla truffa

108

La notizia dell’ultima truffa telematica messa a segno arriva dalla Liguria, questa volta, da quattro soggetti facenti parte di una vera e propria banda del “vishing, un metodo a cavallo tra passato e futuro che sembra molto efficace per sottrarre anche grosse somme di denaro dai conti correnti delle vittime.

La Polizia Postale ligure, infatti, ha accertato che i truffatori sono riusciti a effettuare bonifici dai conti attaccati anche da 55 mila euro. Per la precisione i criminali, tutti denunciati all’Autorità giudiziaria di Genova, adottavano sia il “vishing” che lo “smishing“, entrambe varianti del più noto phishing. Tre termini diversi, per un solo fine: convincere le vittime a cedere le proprie credenziali bancarie per poter poi accedere in modo fraudolento al conto ed effettuare i bonifici necessari a svuotarlo. Nel caso specifico la truffa era anche abbastanza sofisticata, perché i criminali hanno usato anche la tecnica dello “spoofing” del numero di telefono degli istituti bancari.

Phishing, vishing e smishing: come funziona la truffa

Il meccanismo usato dai truffatori consisteva nel telefonare alle vittime da un numero che sembrava il numero verde di assistenza della banca. In questo modo il correntista si sentiva rassicurato, anche se dall’altra parte c’era in realtà un truffatore. Una volta “agganciata” la vittima i criminali gli facevano credere che la banca aveva registrato dei movimenti sospetti sul conto, motivo per cui era urgentemente necessario cambiare le credenziali d’accesso al conto corrente online.

A questo punto i casi erano due: o i criminali si facevano dettare le credenziali al telefono (vishing, cioè “vocal phishing“), oppure inviavano un SMS alla vittima contenente un link verso una pagina Web fake (smishing, cioè “SMS phishing“). Nel secondo caso la vittima doveva cliccare su un link contenuto nel messaggio, che portava alla pagina Web che imitava fedelmente quella della banca ma che era fatta ad arte per sottrarre le credenziali.

L’utente della banca inseriva il proprio user name e password, come richiesto dai truffatori, e così facendo li regalava ai criminali che, poco dopo, li usavano per accedere al conto e fare uscire i soldi.

Una truffa sempre più diffusa

Il modus operandi di questi truffatori è praticamente identico a quello messo in atto da altri delinquenti, appena un mese fa, per un’altra truffa a Pastrengo in provincia di Verona. Anche in quel caso furono usate le tecniche dello smishing e dello spoofing del numero telefonico, con un bottino di 7.500 euro.

Ciò dimostra che questi strumenti per mettere a segno truffe telematiche sono ormai molto semplici da trovare sul dark Web, anche a prezzi molto bassi. I criminali comprano dei kit” per fare le truffe e poi iniziano a telefonare, fino a quando qualcuno non abbocca all’amo del phishing.

Come difendersi dalla truffa: i consigli della Polizia Postale

La Polizia Postale ormai ha a che fare con sempre più truffe di questo tipo, che come abbiamo visto hanno tutte dinamiche simili. Per questo ci sono delle regole di massima da seguire, dei consigli validi per non cadere nella truffa.

Il primo è ricordarsi sempre che i “numeri verdi“, quelli di assistenza ai clienti, non chiamano ma ricevono (in termini tecnici: sono servizi “inbound” e non “outbound“). E’ impossibile che una banca chiami un cliente per svolgere una procedura così delicata come il reset di una password via telefono: neanche la banca potrebbe avere la certezza di chi c’è dall’altra parte del telefono.

La procedura standard, infatti, è diversa: se vengono effettivamente rilevati movimenti sospetti sul conto la filiale dove è stato aperto il conto chiama il cliente e lo invita a presentarsi fisicamente in banca.

Poi ci sono le raccomandazioni classiche, valide per tutti i tipi di Phishing: diffidare sempre, mai cliccare su un link, mai fornire credenziali via SMS, messaggio WhatsApp o telefono.