Quando faccio raccomandazioni di sicurezza su come proteggere gli account sui social network, una delle obiezioni più frequenti che sento è “Ma perché mai qualcuno dovrebbe tentare di rubarmi il profilo Facebook o di clonarmelo? Io non sono nessuno.” E a quel punto scatta l’apatia.
Una risposta molto chiara a questa domanda arriva in queste ore da una truffa che sta facendo parecchie vittime in Svizzera e particolarmente nel Canton Ticino, dove abito, e che toglie dalla bolletta o dal credito telefonico 100 franchi (poco meno di cento euro).
La truffa inizia così: l’utente preso di mira riceve su Facebook (via Messenger), da un amico o un’amica, una richiesta apparentemente innocua, del tipo “Mi mandi il tuo numero di telefono? Serve per un concorso”.
Quando la vittima risponde dando il numero, l’amico ringrazia mandando alla vittima informazioni sul concorso, che si svolge via SMS, e chiedendo di mandargli il codice a quattro cifre che la vittima riceverà per questo concorso. La vittima segue l’invito dell’amico e subito dopo si vede sottrarre i soldi dal conto telefonico. Come è possibile?
Sulla base del resoconto pubblicato da Tio.ch, la dinamica della truffa dovrebbe essere la seguente.
1. Prima di tutto, l’amico è in realtà un impostore: un criminale che ha rubato l’account all’amico vero o gliel’ha clonato (creandone una copia con lo stesso nome e la stessa foto di profilo) e si spaccia per lui, conquistando così la fiducia della vittima.
2. Il truffatore chiede alla vittima il numero di telefono per immetterlo nel servizio di pagamento Sunrise Pay dell’operatore Sunrise, che consente di fare acquisti (per esempio di codici iTunes) addebitandoli sul conto telefonico del numero immesso.
3. Il servizio Sunrise Pay è protetto da un PIN di quattro cifre, che viene inviato al numero immesso, che in questo caso è quello della vittima.
4. La vittima manda questo PIN al truffatore, credendo che si tratti di un amico e senza rendersi conto che è un codice di sicurezza: pensa che sia un codice per partecipare a un concorso.
5. Il truffatore immette il PIN nella schermata di acquisto, dalla quale riceve i codici iTunes, che fa pagare alla vittima.
6. Il truffatore incassa rivendendo online i codici iTunes.
Come difendersi
Per prima cosa, non date a nessuno, ma proprio a nessuno, qualunque PIN ricevuto tramite questo servizio o qualunque altro.
In secondo luogo, attivate il blocco di questa funzione Sunrise Pay usando queste istruzioni fornite dall’operatore telefonico. Notate che la funzione di acquisto è abilitata automaticamente per tutti gli utenti di Sunrise: spetta a voi scoprire che esiste, scoprire che è abilitata, e decidere di disabilitarla.
Terzo, se dall’account di un vostro amico arrivano improvvisamente messaggi molto sgrammaticati, insospettitevi: probabilmente l’account è stato rubato o clonato da un impostore che non parla correntemente la lingua del vostro amico.
Per finire, attivate la verifica in due passaggi sui vostri account nei social network, in modo da rendere più difficile rubarveli grazie a password ovvie o usate per più di un sito e rendete privato l’elenco dei vostri amici in modo che un clonatore non possa sapere a chi mandare i messaggi-esca: in Facebook, andate alla vostra Lista amici, cliccate su Visualizza tutti gli amici, cliccate sulla matitina accanto a Trova amici, scegliete Modifica privacy e impostate a Solo io tutte e tre le voci che compaiono. È consigliabile farlo da un computer; si può fare anche su un tablet o smartphone, ma in questo caso bisogna usare il browser, non l’app di Facebook, per accedere alla Lista amici.
Stando sempre alle schermate pubblicate da Tio.ch, la truffa funziona particolarmente bene in Canton Ticino perché il PIN arriva sul telefonino della vittima all’interno di un messaggio in tedesco, lingua nazionale che non tutti i ticinesi masticano disinvoltamente, per cui l’avvertenza “nicht an Dritte weitergeben” (non inoltrare a terzi) che accompagna il PIN non viene capita. La stessa sorte d’incomprensione linguistica tocca anche al messaggio successivo di ringraziamento per l’acquisto effettuato.
Risarcimento e rintracciamento dei truffatori
Se siete stati colpiti da questa truffa, le vostre probabilità di risarcimento sono molto modeste, perché dando a terzi il PIN non avete rispettato le istruzioni di sicurezza fornite da Sunrise. Tuttavia vale la pena di segnalare all’operatore telefonico il problema, se non altro per informarlo della diffusione della truffa e magari incoraggiarlo a mandare avvisi chiari anche in italiano. Prendete questa truffa come un buon incentivo a imparare il tedesco.
Secondo questa pagina di Sunrise, il limite di acquisto mensile è pari a 100 franchi, per cui non dovrebbe essere possibile subire addebiti superiori a questo importo con una singola transazione fraudolenta.
I truffatori sono difficili da rintracciare: Sunrise probabilmente ha solo il loro indirizzo IP (facilmente falsificabile) e poco altro. Forse potrebbe informare Apple segnalandole che i codici iTunes sono stati ottenuti in modo fraudolento, ma bisognerebbe vedere se Sunrise ha modo di conoscere i dettagli di una transazione o se Apple, per sicurezza, glieli nasconde.
Morale della favola
Adesso dovrebbe essere chiaro che qualunque account social può essere preso di mira dai ladri d’identità: non importa di chi è o cosa contiene o non contiene. Proteggetevi.
2017/04/26
Ho ricevuto una segnalazione direttamente da una vittima di questa truffa. La riassumo qui sotto, omettendo i dati personali:
È stato falsificato l’account di una mia amica su facebook. Il truffatore, fingendosi la mia amica e utilizzando il suo account, mi ha chiesto il mio numero di telefono cellulare (Sunrise business) per un concorso, dicendomiche mi sarebbe arrivato un SMS con un numero da darle per questo concorso. Quando è arrivato l'sms con il numero gliel'ho dato, accorgendomi dopo che era un account falso e che quel numero era il PIN per certificare ed accedere ad un pagamento online (Sunrise Pay). Così diceva l'SMS in lingua straniera.
La vittima mi ha detto di aver chiamato Sunrise ma di non aver avuto alcun aiuto concreto:
Immediatamente Dopo l’accaduto ho chiamato Sunrise business chiedendo come fare per bloccare un'ipotetica transazione avvenuta con il mio account Sunrise, e loro dopo 30 minuti di chiamata mi hanno ripetuto di non poter fare nulla e al limite di poter controllare l’indomani se ci fossero state chiamate o messaggi “strani” effettuati col mio numero. Ho chiesto insistentemente se ci fosse un protocollo che permettesse di agire subito e bloccare un ipotetica transazione, e dopo lunghe attese e incertezza da parte della signorina del cal center mi è stato detto che “non sapevano come aiutarmi”.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.