Controcopertina

Conto corrente, nuova truffa sim swap e altri attacchi a banche. come difendersi



Con la SIM swap fraud gli hacker malevoli cercano di imbrogliare direttamente il vostro gestore telefonico, mediante un banale trasferimento del numero di telefono ad una nuova SIM, accedendo così al codice di sicurezza della vostra banca per avere pieno accesso al vostro conto. Ecco come potete difendervi.

La truffa della sim swap è arrivata anche nella Baia del Sole. Nel mirino un imprenditore al quale la banda di criminali informatici hanno prelevato 20 mila euro dal conto corrente bancario. Si tratta di una tecnica utilizzata dai truffatori per accedere al nostro telefono. Molte banche nella Ue utilizzano l’autenticazione a due passaggi quando si desidera trasferire denaro a un nuovo beneficiario.

Spesso la banca manda un SMS con un codice univoco a quattro cifre che serve per completare la transazione. I truffatori che hanno già i dati bancari della vittima, chiamano il suo gestore di rete e spacciandosi per lui, e chiedono di scambiare il numero di telefono con una nuova carta SIM di proprietà di truffatori. Questa tecnica consente di intercettare i messaggi inviati al telefono. Si può quindi creare un nuovo beneficiario e inviare i fondi su un altro conto.

L’istituto di credito sta ora cercando di bloccare almeno il bonifico effettuato in favore di un conto di una banca in Spagna. Nel frattempo alla vittima non è rimasto altro da fare che denunciare l’accaduto ai carabinieri. Un fenomeno, quello della «sim swap», particolarmente pericoloso che potrebbe colpire chiunque. Consigli su come difendersi dai malintenzionati sono stati diffusi anche sul portale della polizia postale e su siti di varie associazioni in difesa dei consumatori.

Associazione per delinquere frodi e accessi abusivi nei sistemi informatici, sostituzione di persona, truffe e riciclaggio sono le accuse a vario titolo per 14 persone di cui 11 finite in carcere e 32 indagate a piede libero. La polizia postale coordinata dalla procura distrettuale di Catania ha scoperto un’associazione a delinquere dedica alla cyber finanziario che ha colpito migliaia di persone in tutt’Italia. Dall’indagine avviate nel 2015 a seguito di una frode informatica ai danni di una banca on-line in cui i clienti residenti in varie parti d’Italia erano stati sottratti € 300.000, è emersa infatti la presenza di un gruppo connotato da una notevole capacità criminale e peculiari conoscenze tecniche informatiche, dediche con professionalità e spregiudicatezza alla pianificazione continua di truffe informatiche e telematiche e truffe on-line su famosi portali. L’associazione era dedita soprattutto alla realizzazione di frodi informatiche del tipo sim swap.

Cos’è il phishing

Attenzione alle richieste “strane”… Il phishing è un modo per indurre gli utenti a rivelare con l’inganno informazioni personali o finanziarie attraverso un messaggio di posta elettronica o un sito Web. Una comune frode tramite il phishing in linea si basa su un messaggio di posta elettronica simile a un avviso ufficiale inviato da un’origine attendibile, ad esempio una banca, una società emittente di carte di credito o un commerciante su Internet di chiara reputazione. I destinatari del messaggio di posta elettronica vengono indirizzati a un sito Web fraudolento, in cui viene richiesto di specificare informazioni personali, ad esempio un numero di conto o una password.



Queste informazioni vengono quindi utilizzate per appropriarsi dell’identità altrui. Come riconoscere un messaggio di posta elettronica attendibile Il mittente del messaggio è conosciuto dal destinatario? Se il messaggio proviene da una persona sconosciuta, prestare massima attenzione e aprire il messaggio solo dopo attenta valutazione. Se il messaggio sembra provenire da una persona conosciuta, insospettirsi qualora l’oggetto risulti strano o inadeguato, oppure gli allegati contengano file di programma, come per esempio offerta.exe; infatti gran parte dei virus odierni in circolazione sono in grado di simulare indirizzi di posta elettronica facendo in modo che il messaggi sembri provenire da una persona conosciuta. Il mittente ci ha già scritto messaggi precedentemente? Se si conosce la persona o la società che ha inviato il messaggio ma non sono mai stati ricevuti messaggi di posta elettronica in precedenza, verificare il motivo per il quale si è ricevuto il messaggio.

Controllare il testo dell’oggetto e il nome file dell’eventuale allegato. Se una qualsiasi parte del testo sembra sospetta, eliminare il messaggio oppure analizzarlo con un software antivirus aggiornato prima di aprirlo. Era atteso di ricevere messaggi dal mittente? Se la ricezione non era prevista, inviare un messaggio di posta elettronica distinto al mittente, senza aprire il messaggio per rispondere, e chiedere conferma dell’effettivo invio del messaggio. L’oggetto del messaggio o il nome dell’allegato è coerente con il messaggio e con il contenuto? È possibile che un messaggio non previsto il cui oggetto è incomprensibile apparentemente inviato da un amico sia in realtà stato inviato da un virus che simula l’invio con l’indirizzo di posta elettronica dell’amico. I messaggi nel cui oggetto si invita a eseguire un’operazione, ad esempio “Importante! Aprire immediatamente l’allegato!” sono quasi certamente non sicuri ed è pertanto opportuno non aprirli, se non dopo avere effettuato una scansione del messaggio con un antivirus aggiornato.

Conto corrente online, truffe che azzerano i conti. Come prevenire i malware

Le truffe soprattutto quelle on-line sembrano essere ormai all’ordine del giorno e arrivano davvero attraverso ogni mezzo e ogni dispositivo. Quella di cui vogliamo parlarvi oggi riguarda il conto corrente online e di una truffa che va ad azzerare il saldo in modo piuttosto semplice e veloce. Ma come è possibile prevenire queste truffe? Se si ha un conto corrente online oppure tradizionale è bene prestare attenzione nel non farsi truffare, adottando sicuramente dei piccoli accorgimenti e dei comportamenti a prescindere se il conto sia online o meno. Sembra che l’estate sia il periodo migliore per i truffatori intenzionati a svuotare il conto corrente delle vittime, che nella maggior parte dei casi sono turisti molto spesso distratti oppure inconsapevoli di essere al centro dell’interesse del truffatore.

Stando a quanto riferito da una società specializzata nella Sicurezza informata, i Trojan bancari stanno aumentando la loro crescita negli ultimi mesi con l’avvicinarsi e l’arrivo dell’estate E perché pare che in questa stagione sia più facile truffare i turisti come abbiamo detto o per distrazione o talvolta per ignoranza. Bisogna prestare Dunque particolarmente attenzione ai malware e dunque alle truffe di phishing o smishing ovvero tutte quelle truffe che possono arrivare tramite sms o email inviando nella maggior parte dei casi una comunicazione fasulla che invita le vittime a scaricare un allegato oppure accreditare su un link.

Questi nella maggior parte dei casi, trasferiscono le vittime ad una pagina clone del proprio Istituto o postale o bancario e soltanto li è chiesto di inserire i dati sensibili, ma oltre alle generalità vengono richiesti dei dati riguardanti il conto corrente postale o bancario ed è facile capire come avendo questi dati, il conto corrente può essere svuotato in modo piuttosto semplice.

Dunque è bene non assecondare questi tipi di comunicazioni Perché nella maggior parte dei casi si tratta di truffe e inoltre sarebbe meglio evitare di accedere a servizi come L’home banking o l’indirizzo email personale sfruttando le connessioni pubbliche. Negli ultimi giorni ci sono state diverse segnalazioni soprattutto inviate dal Veneto, riguardanti una falsa comunicazione da parte di Enel Energia o meglio da una società che farebbe parte del gruppo Enel è che pare inviti le vittime ad inserire i propri dati su unapagina fake creata ad hoc al fine di ottenere il rimborso. Si è trattata di una classica truffa di phishing ovvero un raggiro che è stato inviato per mail e che sollecita l’utente a inserire le proprie coordinate bancarie con il solo intento di accedere ai dati delle carte di credito per svuotare il conto.

Unicredit, BNL e Intesa San Paolo sotto attacco: tramite WhatsApp gli utenti vengono attaccati

Spesso si è parlato di truffe che hanno colpito gli utenti, soprattutto mediante la nota app di messaggistica istantanea famosa con il nome di WhatsApp. In quest’ultimo periodo qualcosa di analogo starebbe arrivando nella chat di moltissimi utenti, i quali non sanno a cosa vanno incontro.

Infatti il phishing sembra essere una pratica ormai estremamente diffusa, e in questo caso si tratterebbe proprio di questo. Il testo che arriva in chat vi farà credere che i vostri account bancari sono stati bloccati e che necessitano di una reimpostazione di passwordecc.

Ovviamente tutto ciò non è altro che una tecnica per ricondurvi ad alcune pagine che possono rubarvi dati e soprattutto chiavi di autenticazione. Sarebbe questo il lasciapassare al vostro conto in banca. In questo caso però la truffa sarebbe più benevola, dato che andrebbe “solo” a rubare i vostri dati personali inseriti. Fate comunque molta attenzione dato che da ciò ne potrebbe derivare un gran problema.

Talvolta per versarvi lo stipendio o magari per mettervi al sicuro i risparmi di tanti anni di lavoro, sono tante le persone che ricorrono alla soluzione più comoda e veloce, quella di aprirsi un conto corrente bancario presso uno dei maggiori istituti di credito come Unicredit, SanPaolo o BNL.

Ci chiediamo però: sarà anche la più sicura tra le soluzioni? Sì, lo è, ma bisogna aprire bene gli occhi e non cadere nelle diffuse trappole su internet. Sono numerose le persone che al giorno d’oggi sono vittime di phishing. Ci rivolgiamo soprattutto a coloro che non sono pratici nell’uso di internet, o a chi, leggendo frettolosamente, non pone le dovute attenzioni a notizie che potrebbero farlo trovare nei casini.

Vi ricordate il tentativo di truffa ai danni di UniCredit Banca risalente a poco meno di un anno fa? L’attacco da parte degli hacker, infatti, mise in allarme più di 400 mila utenti, ma la Banca rassicurò i propri clienti dichiarando che i conti correnti in questione erano al sicuro e che nessun malfattore era venuto in possesso di dati personali o password.

A un anno di distanza, però, UniCredit Banca si trova a dover fare nuovamente i conti con le truffe online: un post su Facebook da parte della Polizia di Stato, infatti, lancia l’allarme riguardo la circolazione di una nuova truffa. Il modus operandi è uno dei più utilizzati dagli hacker: la vittima  presa di mira riceve un’email con il logo della banca Unicredit con l’annuncio di un accredito sul proprio conto corrente e con un link, al termine dell’email, in cui viene richiesto di accedere al servizio online (falso, naturalmente) e verificare i propri dati. Appena un mese fa, lo stesso tentativo di truffa veniva fatto ai danni di Poste Italiane con lo stesso procedimento.

Unicredit, il phishing che preleva i vostri dati

Il metodo utilizzato, e anche uno dei più ‘in voga’ tra i truffatori di conti correnti, è il phishing: l’utente riceve un’email in cui è presente un link; una volta cliccato il link, la vittima viene indirizzata su un sito molto simile a quello di UniCredit Banca e gli sarà chiesto di inserire i propri dati personali e bancari; i dati, però, saranno intercettati dai truffatori che svuoteranno il conto corrente.

La mail in questione contiene il seguente messaggio: “Gentile cliente, abbiamo ricevuto una segnalazione di accredito di Euro 982,77 da UFFICIO 47. L’accredito è stato temporaneamente bloccato a causa dell’incongruenza dei suoi dati, potrà ora verificare i suoi dati e al ricevimento di essi entro 48 ore le accrediteremo la somma sul suo conto UniCredit. Acceda al servizio accrediti online e verifichi i suoi dati.”

Potrebbe nascere in voi il dubbio di un tentativo di truffa se, ad esempio, non è stato mai richiesto il tipo di servizio a cui si riferisce l’email: la miglior cosa, in caso di dubbi, è telefonare l‘Assistenza Clienti.

Purtroppo, nonostante se ne sia parlato e si continui ancora a parlare di truffe e furti di dati personali e bancari, ci sono sempre persone poco informate e molto ingenue.

E’ facile riconoscere un’email proveniente da Unicredit Banca. Come? Innanzitutto, questo tipo di email contiene sempre il nome e cognome dell’utente, viene indicata la propria Filiale Unicredit e – cosa più importante ed essenziale per rendersi conto che l’email è stata inviata proprio da Unicredit – è che non viene chiesto mai nessun dato personale o bancario. E in caso siano stati inseriti i dati dalla vittima in questione? Il miglior consiglio è contattare immediatamente UniCredit Banca, bloccare le proprie carte di credito, cambiare tutti i dati del proprio conto corrente e denunciare.

È una delle carte prepagate più famosi in Italia con il maggior numero di persone che la utilizzano non soltanto per comprare merce su Internet, ma anche, per sostituire definitivamente la moneta.

 È una delle carte prepagate più diffuse, essendo estremamente semplice da usare, ma proprio per questo motivo è anche quella presa maggiormente di mira dai truffatori, sempre in continua ricerca di nuovi strumenti di illecito offerti dalla tecnologia. Il web lancia un nuovo avviso: fate attenzione alle truffe, nessuno è al sicuro e tutti i titolari di Postepay possono cadere in queste trappole.

Una delle truffe studiate ad hoc per i consumatori è quella del falso call center. Esistono delle vere e proprie associazioni a delinquere che si nascondono dietro la voce di un operatore telefonico alla ricerca di nuovi conti da prosciugare. Attraverso una semplice telefonata, il truffatore, fingendosi un addetto del servizio postale, comunica di dover fare un aggiornamento sulla carta prepagata.

Postepay, attenzione ai dati delle carte di credito

Nel corso della chiamata, il cliente ignaro viene spinto a rilasciare telefonicamente le proprie credenziali e il pin associato alla carta. In questo modo, i dati rilasciati consentiranno al falso operatore di accedere indisturbato alla somma di denaro depositata sulla Postepay.

Generalmente, un vero addetto della posta non richiede dati e codici telefonicamente, invitando il detentore della carta, qualora ci siano problemi, a presentarsi allo sportello postale. Gli ideatori della truffa agiscono su diversi canali mettendo in piedi varianti della stessa: questa, dunque, può essere perpetuata attraverso una semplice e-mail con l’intento di ridurre al verde i conti postali e persino su Whatsapp!

La mossa iniziale è spaventare l’utente tramite messaggi in merito a presunte attività irregolari che sarebbero state riscontrate sulla propria Postepay, in modo tale che l’utente clicchi sul link proposto nella e-mail e visiti il sito dei truffatori. Anche in questo caso, sarà invitato ad inserire tutti i dati sensibili della propria carta di credito.

Per potersi difendere da questo, si invita, prima di inserire un qualsiasi dato personale, a controllare su quale sito si è acceduto tramite il link: se cliccando non si è su www.poste.it (sito ufficiale) allora si tratterà quasi sicuramente di un tentativo di raggiro.

Le vittime non sono solo anziane, come generalmente si potrebbe pensare. Nella rete dei truffatori, infatti, sono caduti molti giovani ma anche professionisti che sono stati sapientemente raggirati da persone prive di scrupoli.

Pagamenti via Internet Per acquistare beni e servizi via Internet con la Carta, il Titolare deve utilizzare un dispositivo (personal computer, smartphone, tablet) ed una connessione internet sicura tramite l’utilizzo di un antivirus ed un firewall aggiornati. Le aziende produttrici dei software rendono periodicamente disponibili online (e scaricabili gratuitamente) aggiornamenti che incrementano la sicurezza del sistema operativo e del browser. Sui siti di queste aziende è anche possibile verificare che il proprio browser sia aggiornato; in caso contrario, è consigliabile scaricare e installare gli aggiornamenti disponibili. BancoPosta consiglia di non installare software e non scaricare file di provenienza sconosciuta poiché potrebbero contenere virus (es. malware, trojan, ecc.).

Il Titolare deve altresì assicurarsi di effettuare pagamenti su pagine web protette, le quali sono riconoscibili in quanto l’indirizzo che compare nella barra degli indirizzi del browser comincia con “https://” e non con “http://”. Inoltre, le pagine protette contengono un lucchetto visibile all’interno del browser (es. nella parte in basso a destra o nella barra di navigazione). Cliccando due volte sul lucchetto, è possibile verificare l’esistenza di un “certificato” che garantisce l’autenticità del sito. Per l’esecuzione di pagamenti on line, al Titolare può essere richiesta, così come descritto nelle istruzioni operative riportate a video sui siti Internet: a) l’indicazione del numero della Carta e della scadenza (entrambi riportati sul fronte della Carta), b) il codice di tre cifre (CVC2) presente sul retro della Carta, c) una One Time Password. Su alcuni siti Internet dotati di specifici protocolli di sicurezza, al Titolare potrebbe essere richiesto l’inserimento del codice 3D Secure. Per ottenere informazioni sulle transazioni effettuate e consultare il saldo della Carta, il Titolare può accedere alla propria Area Personale sui siti www.Poste.it o www.Postepay.it tramite i codici di accesso (nome utente e password). Per l’accesso ai propri siti Poste Italiane consente altresì di utilizzare una procedura di autenticazione forte tramite i codici di accesso PosteID abilitato SPID (i dettagli sul servizio SPID sono riportati nella “Legenda”).

Le conferme di avvenuto pagamento devono essere sempre controllate attraverso la lista movimenti; è importante verificare che siano state addebitate solo le operazioni effettuate. I codici di utilizzo della Carta sono strettamente personali e pertanto, devono essere custoditi con cura e mai comunicati ad altri. È preferibile non conservare i codici insieme, né annotarli su un unico documento. A tutela della sicurezza dei propri pagamenti, il Titolare non dovrà comunicare mai a terzi (a titolo esemplificativo, via email o telefono), i dati della Carta e/o i Codici personali e dovrà evitare di immettere i dati della Carta in aree con wi-fi libero (a titolo esemplificativo, ristoranti o hall di alberghi) in quanto in questi luoghi potrebbero essere captati ed utilizzati più facilmente in modo fraudolento. Per una maggiore sicurezza si consiglia di modificare periodicamente la Password. Poste Italiane, direttamente o tramite terzi, non richiede mai ai propri clienti, attraverso messaggi di posta elettronica, telefonate o lettere, di fornire i codici di accesso personali, né i dati relativi alle carte di debito e prepagate. In caso di smarrimento o furto, nonché di uso non autorizzato o sospetto della Carta o dei codici di accesso, il Titolare è tenuto a chiedere immediatamente il blocco della Carta secondo le modalità descritte nella sezione “Principali rischi (generici e specifici) del servizio”.

Il Titolare non sopporta alcuna perdita per le spese effettuate con la Carta on-line e a seguito di smarrimento, furto, uso non autorizzato o sospetto della Carta e dei codici di utilizzo, fatti salvi i casi in cui abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo della Carta. In tali casi, il titolare sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate. Poste Italiane rimane esonerata da qualsiasi responsabilità per le operazioni disposte anteriormente alla ricezione della comunicazione di smarrimento, furto o uso non autorizzato o sospetto della Carta e dei codici di utilizzo quando la comunicazione stessa non sia stata effettuata secondo le modalità e tempistiche indicate nel presente Foglio Informativo e nelle condizioni contrattuali della Carta. Successivamente al momento in cui la comunicazione di cui sopra risulti opponibile a Poste Italiane, quest’ultima impedisce qualsiasi utilizzo della Carta e il Titolare non sopporta le perdite derivanti dalle operazioni di pagamento non autorizzate senza alcun limite di importo, salvo i casi in cui abbia agito in modo fraudolento, con dolo o colpa grave.



1 comment