Attenti al numero verde della banca: il nuovo inganno è il voice phishing

Il mondo delle truffe online è ampio, multiforme e in velocissima espansione. Le frodi creditizie volte all’acquisto di beni o alla sottoscrizione di finanziamenti (si veda l’articolo sopra) non esauriscono infatti il campo dei raggiri effettuati a mezzo internet. Vanno anche considerate le violazione dei sistemi di home-banking, l’autorizzazione a bonifici o pagamenti carpite con mail e telefonate truffaldine che raccontano storie verosimili, spesso costruite su misura grazie alle informazioni personali rubate.

Ci sono poi gli attacchi alle imprese noti come Bec fraud(Business e-mail compromise) o Ceo fraud (Chief exeutive officer) attraverso i quali i malviventi riescono a intromettersi nei rapporti commerciali tra aziende o fra dirigenti della stessa azienda e a dirottare somme importanti su conti correnti controllati .

Nei primi quattro mesi di quest’anno, in tema computer crime (phishing, attacchi informatici, malware), la polizia postale ha ricevuto denunce (4.201) praticamente pari a quelle relative all’intero 2019 (4.282). E le somme sottratte da gennaio ad aprile 2020 (20,2 milioni di euro di cui 8,7 recuperate) sono appena inferiori a quelle “rubate” in tutto il 2019 (circa 21,3 milioni di cui 18 recuperate).

E sono dati moltoparziali poiché, come spiega la polizia postale, non sempre le vittime denunciano e gli importi sono difficilmente calcolabili: è, ad esempio, impossibile sapere quante persone sono state colpite da un’ampia operazione di phishing.

La crescita è comunque esponenziale ed è stata “favorita” anche dall’epidemia sfruttata in diversi modi: dalle false raccolte di fondi alle mail apparenti di ministeri o organizzazioni sanitarie che fingevano di fornire informazioni sul contagio, ma in realtà contenevano virus. Ad aprile l’Inps ha denunciato tentativi di phishing effettuati chiedendo di agggiornare le domande Covid.

Fra le tecniche (sempre più ingegnose) di cui cresce l’utilizzo c’è il vishing - acronimo di voice phishing - che affianca alla conoscenza di dati anche telefonate ad hoc: sul cellulare o sulla mail arriva ad esempio un alert inviato apparentemente dalla propria banca, che segnala “operazioni sospette” e riporta l’indirizzo internet di un sito-clone. Se lo si apre scatta la telefonata (resa credibile dalla capacità di farla apparire come proveniente dal numero verde della banca e dalla conoscenza di alcuni codici segreti) in cui i truffatori, spacciandosi per dipendenti che stanno cercando di bloccare un furto, tentano invece di farsi dire i codici che autorizzano bonifici o pagamenti. A volte i telefonisti si presentano anche come rappresentanti o ispettori delle forze dell’ordine.

Alla base, però, ci sono sempre i dati della vittima. Per la criminalità che opera in questo settore le informazioni personali valgono oro. «Nel darkweb i dati personali sono una merce molto ricercata», dice Nunzia Ciardi, direttore del servizio Polizia postale . «Le operazioni di contrasto sono molto complesse - aggiunge Ciardi- e si svolgono sempre in un contesto transnazionale. Sono fenomeni criminosi che vanno considerati nella loro dimensione globale e che spesso fanno riferimento ad associazioni criminali ben organizzate».

Non solo, quindi, non bisogna mai aprire gli allegati o andare sui siti che arrivano tramite mail o sms, né dare password, codici o credenziali finanziarie di alcun genere: una banca non chiede mai via email o per telefono le credenziali di accesso all’home-banking, gli estremi delle carte di credito o altri dati personali. Bisogna prestare particolare attenzione anche quando vengono chieste copie di documenti, quando si fanno acquisti online (verificando la sicurezza del sito prima di fornire i dati della propria carta di credito) e tenere sotto controllo il proprio conto corrente.