carte di credito – Pagina 2

Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

2016-04-09
di Paolo Attivissimo
carte di credito, crimine online, furto di dati, furto di password, phishing, truffe

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po’ di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c’è anche il controllo sulla coerenza del codice fiscale. L’unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell’indirizzo ci sia il nome corretto del sito insieme all’icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Antibufala: la foto del ladro con lo scanner per carte di credito senza contatto

2016-02-26
di Paolo Attivissimo
antibufala, carte di credito, ReteTreRSI, sicurezza informatica

Sta creando un certo panico, e un numero elevatissimo di condivisioni su Facebook, una foto che mostra un uomo che tiene in mano un terminale portatile di pagamento per carte di credito. Secondo la descrizione che accompagna l’immagine, si tratterebbe della prova fotografica del fatto che ci sono criminali che vanno in giro a rubare i dati delle carte di credito sfruttando la nuova tecnologia contactless, che consente di effettuare pagamenti semplicemente avvicinando la carta al terminale, senza dover digitare PIN, e quindi consente al criminale di prelevare soldi dalle carte di credito delle persone vicine.

Ma in realtà, come spiega Buzzfeed, la foto non documenta la presenza di un ladro contactless: ritrae Oleg Gorobets, manager della società di sicurezza informatica Kaspersky. In altre parole, è una messinscena.

Gli esperti, inoltre, dicono che questo genere di furto è tecnicamente difficilissimo: non basta un terminale normale ma serve un dispositivo dotato di un’antenna speciale e soprattutto c’è il problema che un eventuale furto sarebbe completamente tracciabile. Per i più prudenti, comunque, esistono degli astucci metallici per carte di credito contactless che schermano completamente da eventuali attacchi di questo tipo.

Attenti alla truffa della carta di credito!

2012-01-21
di Paolo Attivissimo
antibufala, carte di credito, catlg, truffe

Allarme per nuova truffa con carta di credito, “garantisce” la Banca d’Italia

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Sta circolando da qualche tempo via e-mail una nuova segnalazione di pericolo riguardante le carte di credito, apparentemente garantita dalla Banca d’Italia e dalla Royal Bank of Canada: una volta tanto, non c’entra il loro uso su Internet, già attorniato da tali e tante paure da aver soffocato il commercio elettronico, ma una forma di truffa puramente telefonica.

L’appello ha un fondo di verità: il pericolo descritto è reale, ma i suoi garanti sono fasulli o involontari.

Ecco qui sotto un esempio dell’e-mail di allerta che sta circolando: le evidenziazioni e omissioni sono mie.

Sent: Tuesday, August 19, 2008 9:55 AM
Subject: Fw: NUOVA TRUFFA CON CARTE DI CREDITO

INOLTRIAMOLA A QUANTE PIU’ PERSONE CONOSCIAMO, NE VA DELLA SICUREZZA DI TUTTI!

Da:

Una delle più importanti banche del Canada (più precisamente la Royal Bank of Canada) sta allertando tutti i propri clienti circa una nuova truffa ai danni di possessori di carte di credito (VISA, Mastercard, etc.) che si sta allargando a tutto il continente americano ed è molto prevedibile che prestissimo raggiungerà l’Europa…
OCCHIO, RAGAZZI !!!

La truffa si sta diffondendo dal Canada con velocità impressionante.
In particolare si tratta di un modo piuttosto furbo per truffare i possessori di carte di credito, poiché questi bastardi hanno già i numeri di serie della carte e quindi NON VI CHIEDONO IL NUMERO DI SERIE DELLA VOSTRA.

Questa mail potrà essere molto utile in quanto una volta capito come funziona la truffa sarete preparati e protetti dal pericolo.

Funziona cosí.

La persona vi chiamerà al telefono dicendo:
“Buongiorno, mi chiamo (Nome e Cognome) e La sto chiamando dall’ufficio antifrodi della VISA (oppure Mastercard, American Express, ecc.).
La mia matricola di funzionario VISA è la 12460.
Le telefono perché la Sua carta è stata segnalata dal nostro sistema di sicurezza per aver fatto un acquisto insolito e io sono qui per verificare insieme a Lei se si tratta di qualcosa di illegale oppure no.
Guardi, si tratta della Sua carta di credito VISA emessa dalla Banca………
( vi dirà il nome della Vostra Banca)
Lei ha per caso acquistato recentemente dei biglietti aerei (o qualsiasi altra cosa) per 497.99 dollari (oppure Euro) da una società via Internet che ha sede in ……. ?”

Mentre voi risponderete di no, il falso funzionario continuerà dicendo:

“Guardi, Le spiego brevemente, si tratta di una società che stiamo tenendo d’occhio poiché effettua degli addebiti tra 297 e 497 dollari (Euro) per volta e restando sotto i 500 dollari non è facilmente controllabile, dato il gran numero di transazioni che effettua ogni giorno in tutto il mondo.
Ad ogni modo, se Lei mi conferma di non aver effettuato con la sua carta nessun acquisto Internet per biglietti aerei di questo importo, con il suo aiuto abbiamo potuto appurare che si tratta di un tentativo di frode e così questa somma Lei la vedrà addebitata sull’estratto conto del mese ma le verrà contemporaneamente eseguito lo storno per lo stesso importo non dovuto, così alla fine il saldo sarà pari.
L’estratto conto verrà inviato come al solito al Suo indirizzo che ci risulta essere Via………, è corretto ?”

E voi direte ovviamente di sì…

Allora lui/lei continuerà dicendo:

“Ok, a questo punto apro una pratica interna antifrode. Se Lei avesse qualsiasi domanda o chiarimento da chiederci, chiami il nostro numero verde 800 …….. e chieda dell’ufficio antifrodi Internet: quando un mio collega le risponderà, abbia cura di dargli il codice di questa pratica che è il ………….. (vi darà un numero a sei cifre) così che potrà rispondere a tutte le sue domande. Ha annotato il codice della pratica? Vuole che glielo ripeta?”

A questo punto inizia la parte IMPORTANTE della truffa.

il falso funzionario vi dirà:
“un’ultima cosa ancora. Avrei bisogno di verificare se lei è davvero in possesso della sua carta: ce l’ha in mano in questo momento ?
Ok, allora dia uno sguardo ai numeri che trova sul retro: se guarda bene vedrà due numeri, uno di quattro cifre che è una parte del numero di serie della carta e l’altro di tre cifre (Codice di Sicurezza) che dimostra che Lei è in possesso della carta.
Queste ultime tre cifre sono quelle che vengono normalmente utilizzate per gli acquisti via Internet, poiché sono la prova che Lei possiede fisicamente la carta.
Me li può leggere per favore ?“
Una volta che glieli avrete letti, lui dirà:
“Ok, codice corretto. Avevo solo bisogno della prova che la carta non fosse stata persa o rubata e che ne eravate ancora fisicamente in possesso.
Ha qualche altra domanda da farmi ?”
Dopo che voi avete risposto di no, lui risponderà:
“Molto bene, La ringrazio della collaborazione.
In ogni caso non esiti a contattarci per qualsiasi necessità: buongiorno.”
E metterà giù il telefono.

Da parte vostra vi sentirete sollevati… hanno tentato di truffarvi, ma il solerte servizio antifrodi della VISA vi ha salvati in tempo.
In fondo non gli avete detto quasi niente di importante e lui non vi ha mai chiesto il numero della carta…

INVECE HA GIA’ INCASSATO I VOSTRI SOLDI !

Già, perché gli avete letto i tre numeri del codice di sicurezza e CERTAMENTE li ha già usati per addebitare la vostra carta.

Infatti quello che i truffatori vogliono è proprio il codice di sicurezza a tre cifre sul retro della carta: gli altri dati se li erano già procurati, compreso il titolare, la data di emissione, di scadenza, il numero di serie della carta e persino il vostro indirizzo….
Mancava solo il codice di sicurezza !

Se vi dovessero chiamare con le modalità appena descritte, non date nessun riferimento e ditegli che chiamerete direttamente la VISA (oppure Mastercard, ecc.) per la verifica della conversazione:
le società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI CODICI:LORO LI CONOSCONO PRIMA DI VOI !!!

Per favore, diffondete queste informazioni ai vostri familiari ed amici.

Manuela Russo

Banca d’Italia
Servizio Informazioni Sistema Creditizio
Largo Guido Carli, 1
00044 Vermicino – Frascati (Roma)

tel. +39.06.[omissis]
fax +39.06.[omissis]
[e-mail omesso]

I consigli dati dall’e-mail sono in sé validi: è indubbiamente pericolosissimo rivelare i codici sul retro della carta a sconosciuti che ci chiamano al telefono. Ma come farebbe un truffatore ad avere il numero di telefono del titolare della carta?

Procurarsi un numero di carta di credito non è difficile: basta sbirciare la carta di qualcuno al supermercato o in un negozio oppure usare un generatore di numeri di carta di credito (esistono programmi gratuiti che lo fanno). Anche il nome e cognome associati a quel numero sono abbastanza facili da ottenere, sempre sbirciando la carta o la sua ricevuta, nel caso di quelle a carta carbone che ancora si trovano in giro.

Ma da lì ad arrivare al numero di telefono, se il nome del titolare non è particolarmente raro (ehm), è piuttosto improbabile. In che città? In che stato?

In effetti esiste almeno un modo per ottenere tutte queste informazioni, e l’ho sperimentato personalmente, ma mi pare improbabile che si possa usarlo per truffe su vasta scala.

Ricordo infatti di essermi seduto nell’atrio di un bell’albergo in Inghilterra, qualche anno fa, dove un gentilissimo signore riceveva per telefono le prenotazioni e i relativi pagamenti. Per assicurarsi di avere i dati giusti (nome, cognome, carta di credito), li ripeteva al cliente. Ad alta voce. Naturalmente presi nota, puramente a titolo dimostrativo, e verificai che i dati erano validi. E lì mi fermai, prima che vi vengano idee strane.

Presso il sito della Royal Bank of Canada non ho trovato alcuna indicazione di quest’allarme, e il numero della Banca d’Italia citato come “garante” dell’allarme sembra valido. Ho contattato l’ufficio stampa della Banca d’Italia per avere maggiori dettagli e sono in attesa di risposta.

2010/02/13

Riprendo in mano quest’indagine perché a distanza di due anni l’appello continua a circolare. La Banca d’Italia non ha mai risposto. Tuttavia attraverso canali informali ho ricevuto conferma che nel 2008 esisteva realmente una Manuela Russo presso il Servizio Informazioni Sistema Creditizio ma non si occupava professionalmente di truffe tramite carte di credito. L’indirizzo postale mi è stato confermato come corretto.

Alcuni lettori mi hanno segnalato di aver contattato via mail la Russo, ottenendo una risposta che avvisa che l’appello in questione sta girando con i suoi riferimenti “in maniera del tutto arbitraria”. La Russo ha dichiarato di non aver “mai scritto né diffuso questa mail”. Un altro lettore segnala di aver scambiato mail con la Russo, che ha detto di aver ricevuto l’appello da “un [suo] amico poliziotto” e di averlo girato “all’interno dell’istituto” commettendo lo sbaglio di “dimenticare di togliere la firma che appare in automatico”.

Sulla base di questi dati un po’ contraddittori, sospetto che si tratti di un semplice garante involontario: una persona che ha ricevuto l’appello e l’ha inoltrato ad amici e colleghi per poi magari dimenticarsene, senza rendersi conto che gli estremi del proprio posto di lavoro, riportati in calce all’appello inoltrato, sono pertinenti all’argomento dell’appello e quindi sembrano essere una sua autenticazione autorevole.

Un altro esempio di garante involontario è la versione di quest’appello che circola “firmata” con gli estremi di un luogotenente del Nucleo Polizia Tributaria di Ferrara e diffusa da un mittente che risulta associato alla Guardia di Finanza.

Questo genere di invio di catene di sant’Antonio dall’indirizzo di mail del posto di lavoro causa spesso imbarazzi al datore di lavoro e guai alla persona citata come mittente. Di conseguenza è da evitare la loro diffusione, per non perpetuare il disagio delle organizzazioni e persone coinvolte. Questo non toglie che in questo specifico caso la sostanza dell’appello sia valida.

Ancora in giro l’allarme della Banca d’Italia

Truffa telefonica sulle carte di credito “garantita” dalla Banca d’Italia

Risale a settembre del 2008 ma è riemersa di colpo in questi giorni, a giudicare dalle segnalazioni, l’appello che mette in guardia contro un tentativo di truffa che usa un trucco psicologico per rubarvi al telefono i codici della carta di credito.

Il meccanismo della truffa è reale, ma l’appello non è affatto garantito dalla Royal Bank of Canada o dalla Banca d’Italia. Se v’interessano i dettagli, sono nell’indagine antibufala originale che ho appena finito di aggiornare.

Dodici milioni di zombi

2010-03-05
di Paolo Attivissimo
botnet, carte di credito, sicurezza, truffe

Botnet, tre dilettanti controllavano dodici milioni di computer

Questo articolo vi arriva grazie alle gentili donazioni di “simone.savol*” e “deagost*”.

C’era una volta, neanche tanto tempo fa, una botnet grande grande: una rete di milioni di computer infetti, sparsi in oltre 190 paesi. Una delle più grandi mai viste. Si chiamava con un nome delicato, Mariposa, e il suo passatempo era rubare i codici d’accesso ai servizi bancari e alle caselle di posta elettronica degli utenti dei PC Windows e riciclare denaro rubato elettronicamente. Ogni tanto i suoi padroni la subaffittavano, con i suoi servi appestati, ad altri criminali.

Fra i computer che Mariposa aveva silentemente stregato c’erano quelli di metà delle aziende più quotate nella celebre lista Fortune 1000. Ma un giorno un Panda (Security), assistito dai cavalieri iberici della Guardia Civil, dai fanti dell’FBI, dai saggi della canadese Defence Intelligence e del Georgia Tech Information Security Center, l’ha eliminata.

Oggi Mariposa non c’è più: a dicembre scorso è stata decapitata. I suoi nemici si sono infiltrati nel suo labirinto di comunicazione e hanno iniziato a origliare per scoprire come faceva a trasformare in zombi le sue vittime. Usava i circuiti P2P, le penne USB infette e i link su MSN che adescavano gli utenti, invitandoli a visitare siti infetti. I suoi padroni la comandavano usando un passaggio segreto, una VPN anonima, nascondendo così la loro vera identità ai penetranti sguardi della giustizia.

Ma il Panda e i suoi valorosi scudieri li hanno sgominati con l’astuzia, inducendoli al panico. Con un sortilegio hanno tagliato le comunicazioni con Mariposa. Quando l’hanno vista perdere i sensi, i suoi padroni, che si fregiavano dei nomi Netkairo, Jonyloleante e Ostiator, hanno avuto un fremito d’ira e si sono così traditi. Gettando al vento la prudenza, Netkairo s’è collegato a Mariposa direttamente dal proprio computer di casa, senza passare dal segreto pertugio della VPN, lasciando così una traccia per i segugi. Ha lanciato un ultimo incantesimo, un Denial of Service, contro uno dei suoi nemici, usando tutti i computer zombi che riusciva ancora a comandare, paralizzando numerose università e istituzioni del Canada.

Ma invano. Le Forze del Bene e dell’Ordine hanno cambiato i record DNS, bloccando Mariposa, e solo allora si sono accorti che gli zombi sotto il comando della malefica triade erano oltre dodici milioni. Un esercito mai visto prima.

Il 3 febbraio scorso la Guardia Civil ha arrestato uno dei crudeli padroni di Mariposa, Netkairo, che si è rivelato essere un trentunenne spagnolo, e poco dopo ha acciuffato i suoi due compari. Sul computer di Netkairo c’erano le password, i numeri di carte di credito e i nomi di oltre 800.000 utenti. Ma la sorpresa più grande è che i tre furfanti non erano maghi del computer: avevano semplicemente comperato al mercato nero gli ingredienti già pronti per creare Mariposa. Erano tre dilettanti.

Se volete sapere se anche voi, senza accorgervene, eravate fra gli zombi degli apprendisti stregoni di Mariposa, non dovete far altro che usare un antivirus aggiornato sul vostro PC. E vivere per sempre felici e contenti. Fino alla prossima infezione.

Fonti: The Register, Panda Labs, Findlaw.com.

zoomx su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Magari il software di allunaggio non era ancora pronto. Nei sorgenti dei sorgenti dell'AGC del LEM Luminary099 ad esempio questo…
Poz su Artemis II, attenzione alle foto false sui social
L'ultima foto è sicuramente vera. Dall'angolazione si vede perfettamente che è stata ripresa da un terrazzino nel Sanremese.
Paolo Attivissimo su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Non lo so. Ma tutta la faccenda di un ipotetico allunaggio con Apollo 10 è intrisa di miti e leggende.…
Pupazzone su Artemis II, attenzione alle foto false sui social
Queste foto continueranno a circolare e i fresconi che si bevono la notizia ci saranno sempre. Purtroppo ho avuto occasione…
Claudio Fe su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Prossime tappe: [...] "Peccato" (ironico, ma non troppo) che non ci sia una missione stile Apollo 10, dove c'era abbastanza…
PGC New Edition su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Dipende da quanto piccolo" sia.... un "piccolo detrito", ma al contrario di Paolo immagino che sarebbe un GROSSO problema. Un…
Ste su Artemis II, attenzione alle foto false sui social
Nella foto del paracadute i cavi tra capsula e paracadute sono lunghi meno della metà di quelli veri
Giacomo su Ricevi spam e mail truffaldine? Spamnesty risponde per te e le combatte
Scusa il necroposting, ma era ovvio che il tizio dietro questo progetto avrebbe fatto qualcosa di livello superiore al tempo…
Davide Francesco Maria Galli su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Allora si, ora ho capito (calcolando anche le altre parti, andava a 131km/s, quindi troppo veloce la parte). Devo vedermi…
Paolo Attivissimo su Artemis II, ammaraggio previsto per le 2:07 dell’11 aprile: come seguire la diretta
Sono io che ho scritto di fretta, seguendo gli annunci della NASA. Dovrei riascoltare la registrazione della diretta. Probabilmente l'annunciatore…

Archivi