Un messaggino sul telefonino del tutto simile o plausibile a quello della tua banca vera e ti ritrovi con il conto corrente ripulito.
La segnalazione ci arriva oggi da un residente di San Polo esasperato dall’ennesimo pericolo.
L’uomo, che fortunatamente non è caduto nella truffa, è andato a reclamare in un punto vendita di telefonia, ma gli addetti hanno solo potuto ribadire le precauzioni da tenere sempre.
“Non è possibile! E’ il secondo diverso nel giro di una settimana. Perché non li bloccano?”, dice l’uomo cliente dell’importante azienda di telefonia.
“Io sono stato attento, ma se capita in un momento di disattenzione, oppure a persone anziane, gli portano via tutto? E’ giusto?”.
Risposte che i ragazzi al banco non hanno.
Va peraltro tenuto presente che è difficilissimo risalire a chi manda i messaggi (quasi sempre dall’estero). Un’indagine del genere avrebbe necessità del coinvolgimento dell’Interpol con tutte le difficoltà e i costi del caso.
Difficile anche ripercorrere la strada del denaro rubato a fine truffa: quasi sempre i movimenti rimbalzano da paese a paese fino ad atterrare in qualche paradiso fiscale oppure, dicono le forze dell’odine, negli ultimi anni, nel conto di qualche ignaro prestanome dell’Est Europeo.
Come avviene la truffa?
Ci sono due matrici diverse.
La prima vede una mail arrivare nella casella di posta della vittima con un messaggio del proprio istituto bancario (replicato) che invita a inserire i propri codici di accesso cliccando un link evocando presunti problemi sul conto.
La mail, si è visto nel tempo, ha preso anche altre forme: può arrivare da enti veri copiati, tipo Agenzia delle Entrate, oppure dal fornitore della luce elettrica per fare un esempio, ma ora si è visto che può arrivare anche dalla mail di amici e conoscenti (che naturalmente sono all’oscuro di tutto).
La seconda, quella che invece sta proliferando negli ultimi mesi, è basata su un SMS che arriva nel telefonino.
Il finto SMS sul telefonino
E’ la vera e propria piaga di questi tempi in cui tendenzialmente, vuoi per la diffusione dell’home banking, vuoi per la comodità dei pagamenti col cellulare, facciamo un grande uso del nostro smartphone.
L’ SMS incriminato ha poche parole ed usa una terminologia tecnica appropriata per sembrare reale.
Difficilmente si riesce ad individuare differenze rispetto ad un messaggio vero della propria banca.
Addirittura, e questo è un grandissimo problema, il link che invitano a cliccare corrisponde davvero al nome di una banca: se per sfortuna è la propria, è una rovina.
Come è possibile questo?
I ladri ci riescono perché usano un altro suffisso: se il mio conto è su “bancabianca.it”, il messaggio, del tutto uguale alla grafica di uno vero, mi inviterà a cliccare, ad esempio, su “bancabianca.srl” o su “bancabianca.lol” con un grandissimo potere ingannatorio.
Ci vuole sempre grande attenzione.
l’ SMS
Ecco il messaggio giunto oggi al signore di San Polo:
INTESASANPAOLO: la sua carta è stata bloccata per
mancata sicurezza web, per informazioni proseguire
tramite il portale indicato:
bit.ly/IntesaSanPaolo
Noi che l’abbiamo visto, che abbiamo studiato la sua grafica, la scelta dei termini, possiamo confermarvi che era veramente difficile capire che si trattava di una truffa. Eppure il vero istituto bancario, ovviamente, non c’entrava nulla.
Fortunatamente, in questo caso, il veneziano era a conoscenza di queste malefatte ed ha deciso di non credere ai messaggi che gli arrivano a prescindere, ma quanti sono così determinati?
Poco più sopra, sulla sua schermata del cellulare, il penultimo SMS (foto), giunto dallo stesso numero, il 4 febbraio 2021 (cinque giorni fa):
Gentile cliente,
la informiamo che è stato rilevato un accesso anomalo al suo conto.
Verifica ora: https://www.ispezionetitolari.com
Qui la questione è ancora più grave: il link proposto da cliccare ha un prefisso “https”.
E’ il prefisso che viene normalmente usato per le transazioni sicure.
E’ un prefisso che l’utente web ha imparato a conoscere come garanzia di un protocollo di cui potersi fidare.
E’ quello che mostra il lucchettino chiuso sul browser vicino all’indirizzo.
Tecnicamente: HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti.
Qui siamo davvero all’assurdo: in pratica i ladri che rubano i vostri dati, per accedere ai vostri soldi, vi chiedono di fornirglieli attraverso una connessione “sicura” e privata.
La domanda: com’è possibile che un sito che truffa usi il protocollo https di sicurezza dato che si basa su speciale protocollo di trasporto di sicurezza (SSL/TLS) che ha bisogno di un certificato digitale?
Mah.
La truffa
Arriva l’SMS, come abbiamo visto, poi cosa succede?
Nel messaggio CHE NON BISOGNA MAI APRIRE O CLICCARCI SOPRA vi sono delle parole sottolineate.
Tecnicamente definite “link”, se cliccate servono a rimandarvi (ad aprire la pagina web) ad un sito perfettamente copiato in modo che sembri della vostra banca.
In questa pagina, verosimilmente con il pretesto di verificare anomalie, ci saranno dei campi in cui vi chiedono di inserire i vostri dati (account, password, numero di conto, pin, ecc…).
I ladri a questo punto avranno le vostre credenziali di accesso per accedere al vostro conto.
La ciliegina sulla torta
Mentre il signore di San Polo esponeva il caso agli operatori, la signora che usufruiva dell’assistenza poco lontano con l’altro operatore diceva: “Si, questo è arrivato anche a me ieri”.
A cui il commesso ha risposto “Sono arrivati anche a me…”.
Ma voglio dire, ma si può pensare di andare a reclamare al negozio di telefonia?? ma che può c’entrare l’operatore in tutto ciò?
Son senza parole