Quattro truffatori sono riusciti a sottrarre ingenti cifre alle loro vittime, fino a 55 mila euro, usando tre sofisticate tecniche: lo spoofing, il vishing e lo smishing
Arriva dalla Liguria la notizia dell’ultima truffa telematica messa a segno, questa volta, da quattro soggetti facenti parte di una vera e propria banda del “vishing“, un metodo a cavallo tra passato e futuro che sembra molto efficace per sottrarre anche grosse somme di denaro dai conti correnti delle vittime.
La Polizia Postale ligure, infatti, ha accertato che i truffatori sono riusciti a effettuare bonifici dai conti attaccati anche da 55 mila euro. Per la precisione i criminali, tutti denunciati all’Autorità giudiziaria di Genova, adottavano sia il “vishing" che lo “smishing“, entrambe varianti del più noto phishing. Tre termini diversi, per un solo fine: convincere le vittime a cedere le proprie credenziali bancarie per poter poi accedere in modo fraudolento al conto ed effettuare i bonifici necessari a svuotarlo. Nel caso specifico la truffa era anche abbastanza sofisticata, perché i criminali hanno usato anche la tecnica dello “spoofing" del numero di telefono degli istituti bancari.
Phishing, vishing e smishing: come funziona la truffa
Il meccanismo usato dai truffatori consisteva nel telefonare alle vittime da un numero che sembrava il numero verde di assistenza della banca. In questo modo il correntista si sentiva rassicurato, anche se dall’altra parte c’era in realtà un truffatore. Una volta “agganciata" la vittima i criminali gli facevano credere che la banca aveva registrato dei movimenti sospetti sul conto, motivo per cui era urgentemente necessario cambiare le credenziali d’accesso al conto corrente online.
A questo punto i casi erano due: o i criminali si facevano dettare le credenziali al telefono (vishing, cioè “vocal phishing“), oppure inviavano un SMS alla vittima contenente un link verso una pagina Web fake (smishing, cioè “SMS phishing“). Nel secondo caso la vittima doveva cliccare su un link contenuto nel messaggio, che portava alla pagina Web che imitava fedelmente quella della banca ma che era fatta ad arte per sottrarre le credenziali.
L’utente della banca inseriva il proprio user name e password, come richiesto dai truffatori, e così facendo li regalava ai criminali che, poco dopo, li usavano per accedere al conto e fare uscire i soldi.
Una truffa sempre più diffusa
Il modus operandi di questi truffatori è praticamente identico a quello messo in atto da altri delinquenti, appena un mese fa, per un’altra truffa a Pastrengo in provincia di Verona. Anche in quel caso furono usate le tecniche dello smishing e dello spoofing del numero telefonico, con un bottino di 7.500 euro.
Ciò dimostra che questi strumenti per mettere a segno truffe telematiche sono ormai molto semplici da trovare sul dark Web, anche a prezzi molto bassi. I criminali comprano dei “kit" per fare le truffe e poi iniziano a telefonare, fino a quando qualcuno non abbocca all’amo del phishing.
Come difendersi dalla truffa: i consigli della Polizia Postale
La Polizia Postale ormai ha a che fare con sempre più truffe di questo tipo, che come abbiamo visto hanno tutte dinamiche simili. Per questo ci sono delle regole di massima da seguire, dei consigli validi per non cadere nella truffa.
Il primo è ricordarsi sempre che i “numeri verdi“, quelli di assistenza ai clienti, non chiamano ma ricevono (in termini tecnici: sono servizi “inbound" e non “outbound“). It is impossible for a bank to call a customer to carry out a procedure as delicate as resetting a password over the phone: not even the bank could be sure of who is on the other side of the phone.
The standard procedure, in fact, is different: if suspicious movements are actually detected on the account, the branch where the account has been opened calls the customer and invites him to physically present himself at the bank.
Then there are the classic recommendations, valid for all types of Phishing: always be wary, never click on a link, never provide credentials via SMS, WhatsApp message or phone.