Cerca nel blog

2006/02/11

Antibufala: occhio agli SMS che si spacciano per CartaSì

Questo articolo vi arriva grazie alle gentili donazioni di "max", "giacomo.bo****" e "dariop".
L'articolo è stato aggiornato e corretto rispetto alla sua pubblicazione iniziale.

Circola da alcuni giorni un allarme a proposito di una truffa telefonica ai danni dei titolari di CartaSì. Eccone il testo:

Oggetto: ATTENZIONE: TRUFFA CARTASI
Da leggere attentamente per la sicurezza di tutti visto che l'informazione dobbiamo farcela da soli !!!!
Ieri, 04 febbraio '06 mi è capitato quanto segue: da alcuni giorni ho chiesto, ai servizi interbancari CartaSi l'attivazione della notifica, tramite sms, delle transazioni effettuate con carta di credito.

Lo trovo infatti molto utile soprattutto al fine di verificare, in tempo reale, un uso da parte di terzi della propria carta di credito.

Ieri ( sabato ... ), verso le ore 17.00 ho ricevuto il seguente sms ( il mittente era CartaSI):
"Attenzione, chiami il numero 02-40707595 per verificare la transazione effettuata con carta di credito al fine di evitarne usi fraudolenti".

In un primo momento ho pensato che avrei aspettato lunedi ma il dubbio che qualcuno avesse appena usato la mia carta (io non avevo effettuato pagamenti) mi metteva in ansia cosi ho composto il numero riportato nell'sms.

Una voce registrata si è presentata come servizio clienti cartasi e mi ha invitato ad attendere in linea al fine di essere messa in contatto con un operatore e dopo poco, proprio come il vero servizio cartasi, mi chiedeva di digitare il codice della carta di credito.

Una volta digitato il codice la solita vocina mi chiedeva di attendere ma quasi subito si scusava invitandomi a richiamare lunedi ....

A questo punto, presa dal dubbio, ho chiamato il numero verde per il blocco cartasi (800151616) e spiegando l'accaduto mi è stato confermato trattarsi di una truffa che da tempo stanno cercando di sconfiggere.

Ho bloccato la carta e oggi, a distanza di 24 ore, ho ricevuto un altro sms, questa volta dal vero servizio cartasi con scritto:

"Autorizzazione di 51.00 euro negata (CartaSi - 05/02 ore 18.59 CCBill.com)"

Stavano portando a termine la truffa ....

Ora fate girare questa mail a più non posso e state attenti perchè la differenza sta nel mittente dell'sms che nel caso truffa si presenta cosi: "CartaSI" e nel caso servizio vero cosi: "CartaSi" . Vista la differenza?? (la I maiuscola e la i minuscola del Si)

La stessa disavventura è raccontata, praticamente parola per parola, il 6/2/2006 dall'Eco di Bergamo, che la attribuisce a una sua lettrice. Questo articolo è la probabile origine dell'allarme diffuso via e-mail, ma può anche darsi che l'e-mail sia la fonte della notizia. Ho contattato via e-mail il giornale chiedendo chiarimenti, ma non ho ancora avuto risposta.

L'11/2/2006 ho chiamato dalla Svizzera il numero indicato come fonte della tentata truffa (02-40707595) e ne ho ottenuto la segnalazione di "numero inesistente". Altri lettori, dopo la pubblicazione iniziale di quest'indagine, hanno fatto altrettanto dall'Italia, quasi sempre con lo stesso risultato (ma leggete i commenti qui sotto).

Sempre l'11/2/2006 ho chiamato il servizio clienti CartaSì (02-3488.0020), ma essendo sabato l'operatore ha rinviato ogni chiarimento al lunedì successivo. Ho poi chiamato, sia via Skype sia col telefono normale, ma dopo rispettivamente sette e undici minuti di musichetta e di litania sugli operatori che risponderanno appena possibile, mi sono arreso, anche perché la chiamata non è gratuita.

Il numero 800-15.16.16 indicato nell'appello appartiene effettivamente a CartaSì, come riscontrabile sul sito dell'azienda.

CartaSì ha effettivamente un servizio di notifica tramite SMS degli addebiti, che funziona nel modo descritto nell'appello. L'appello ha inoltre una collocazione temporale molto precisa (sabato 4 febbraio 2006), cosa che in genere indica una certa serietà e attenzione da parte di chi l'ha scritto. CCbill.com, citata nell'appello, è una nota società di intermediazione che gestisce le transazioni tramite carta di credito via Internet.

L'ipotesi più plausibile è che l'appello fosse inizialmente autentico e che il numero sia stato poi disattivato a seguito dell'intervento delle forze di polizia. Tuttavia segnalazioni dei lettori giuntemi in privato indicano che il numero non è mai stato attivo.

Alcuni lettori si sono chiesti come abbiano fatto i truffatori a sapere che la vittima aveva una CartaSi. Se la vicenda raccontata dall'appello è vera, può darsi che abbiano semplicemente pescato nel mucchio, mandando un numero consistente di SMS a vari utenti, confidando che prima o poi sarebbero incappati in un titolare di CartaSì. In tal caso, sarebbe una tecnica classica di phishing applicata telefonicamente anziché via e-mail.

Vari giorni dopo l'inizio della diffusione di questo appello è comparso sul sito di CartaSì un riferimento a questo allarme (ringrazio i lettori che l'hanno segnalato):

Un caso recente è quello di un SMS, che imita gli SMS di sicurezza di CartaSi, e recita, all’incirca: ’Chiami il numero xx-xxxxxxxx per verificare la transazione effettuata con la carta di credito’. Chiamando il numero segnalato, un risponditore automatico invita a digitare il numero di carta di credito, subito dopo cade la linea. A quel punto i dati sono già nelle mani dei truffatori!.

Questo sembrerebbe autenticare l'appello, che però ora è scaduto, dato che il numero è disattivato.

Più in generale, vale la pena di consigliare non tanto di stare in guardia contro gli SMS che invitano a chiamare il numero indicato dall'appello, quanto più genericamente di non fidarsi degli SMS che chiedono di chiamare numeri telefonici ai quali comunicare dati riservati: ignorateli e contattate direttamente i numeri del servizio clienti della vostra carta.

Nessun commento: