Ieri sera (30 luglio) è andata in onda una puntata di Falò dedicata al fenomeno degli “spalloni digitali”, ossia le persone che riciclano inconsapevolmente denaro rubato: un problema che colpisce anche la Svizzera, nonostante le misure di sicurezza prese dalle banche per proteggere le transazioni online.
In uno dei casi citati, al quale ho collaborato, il denaro (11.400 CHF) era stato rubato dai criminali da un conto corrente e trasferito sul conto corrente dello “spallone” inconsapevole. La puntata è visibile qui sotto.
Ma come fanno i criminali a prendere il controllo dei conti correnti eludendo le protezioni antifrode? L’esperto di sicurezza informatica Oliver Hough ha seguito e raccontato su Twitter un esempio delle tecniche utilizzate, che è meglio conoscere per evitare di esserne gabbati.
Tutto comincia con un SMS che sembra provenire da una banca e avvisa “È stato effettuato un tentativo di pagamento tramite un dispositivo nuovo. Se non sei stato tu, visita Payee-alert[punto]cc/hsbc”.
Se si seguono queste istruzioni (provenienti in realtà dai truffatori), si viene portati a un sito (gestito sempre dai truffatori) che somiglia a quello della banca. La vittima immette le proprie credenziali di accesso in questo sito, e in tempo reale uno dei truffatori prende queste credenziali e le immette nel vero sito della banca prima che scadano.
A questo punto se la banca chiede password o altre verifiche, il truffatore presenta alla vittima delle pagine che richiedono queste informazioni, le intercetta e le immette nel vero sito della banca. Per esempio, spiega Hough, se la banca invia un SMS con un codice di verifica, i truffatori mandano alla vittima una finta pagina in cui immettere il codice.
La vittima crede di interagire con la banca vera e quindi immette quanto richiesto nella pagina finta; il truffatore legge quello che è stato immesso e lo digita nel sito vero della banca. Questo sistema funziona anche con le app di autenticazione e con i vari dispositivi generatori di codici usati da alcune banche.
Il fatto che ci sia un truffatore che segue personalmente e in tempo reale ogni vittima può sembrare incredibile, ma per i truffatori ha molto senso, perché una singola vittima può fruttare decine o centinaia di migliaia di franchi, euro, dollari o altra valuta. Un collega di Hough lo ha verificato immettendo, al posto delle credenziali, delle parole di scherno verso i truffatori e ha ricevuto in risposta una pagina su misura.
La difesa, in casi come questi, è solo la prevenzione: non bisogna mai cliccare su link apparentemente bancari ricevuti via SMS, WhatsApp, mail o altro, ma bisogna visitare manualmente il sito della propria banca oppure lanciare l’app della banca stessa.
Hough è andato oltre: si è procurato il software usato dai truffatori e l’ha installato e configurato in una decina di minuti, notando quanto sia facile da usare. Questo significa che saranno sempre più numerosi i criminali che lo useranno. Meglio essere prudenti e consapevoli.
