In uno dei casi citati, al quale ho collaborato, il denaro (11.400 CHF) era stato rubato dai criminali da un conto corrente e trasferito sul conto corrente dello “spallone” inconsapevole. La puntata è visibile qui sotto.
Ma come fanno i criminali a prendere il controllo dei conti correnti eludendo le protezioni antifrode? L'esperto di sicurezza informatica Oliver Hough ha seguito e raccontato su Twitter un esempio delle tecniche utilizzate, che è meglio conoscere per evitare di esserne gabbati.
Tutto comincia con un SMS che sembra provenire da una banca e avvisa "È stato effettuato un tentativo di pagamento tramite un dispositivo nuovo. Se non sei stato tu, visita Payee-alert[punto]cc/hsbc”.
Se si seguono queste istruzioni (provenienti in realtà dai truffatori), si viene portati a un sito (gestito sempre dai truffatori) che somiglia a quello della banca. La vittima immette le proprie credenziali di accesso in questo sito, e in tempo reale uno dei truffatori prende queste credenziali e le immette nel vero sito della banca prima che scadano.
A questo punto se la banca chiede password o altre verifiche, il truffatore presenta alla vittima delle pagine che richiedono queste informazioni, le intercetta e le immette nel vero sito della banca. Per esempio, spiega Hough, se la banca invia un SMS con un codice di verifica, i truffatori mandano alla vittima una finta pagina in cui immettere il codice.
La vittima crede di interagire con la banca vera e quindi immette quanto richiesto nella pagina finta; il truffatore legge quello che è stato immesso e lo digita nel sito vero della banca. Questo sistema funziona anche con le app di autenticazione e con i vari dispositivi generatori di codici usati da alcune banche.
Il fatto che ci sia un truffatore che segue personalmente e in tempo reale ogni vittima può sembrare incredibile, ma per i truffatori ha molto senso, perché una singola vittima può fruttare decine o centinaia di migliaia di franchi, euro, dollari o altra valuta. Un collega di Hough lo ha verificato immettendo, al posto delle credenziali, delle parole di scherno verso i truffatori e ha ricevuto in risposta una pagina su misura.
i inputted 'we_know_who-you_are_hehe' and they redirected me to this LOL! pic.twitter.com/nHApU2IM6W— zseano💫 (@zseano) July 12, 2020
La difesa, in casi come questi, è solo la prevenzione: non bisogna mai cliccare su link apparentemente bancari ricevuti via SMS, WhatsApp, mail o altro, ma bisogna visitare manualmente il sito della propria banca oppure lanciare l’app della banca stessa.
Hough è andato oltre: si è procurato il software usato dai truffatori e l’ha installato e configurato in una decina di minuti, notando quanto sia facile da usare. Questo significa che saranno sempre più numerosi i criminali che lo useranno. Meglio essere prudenti e consapevoli.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.