Nell’ultimo periodo mi state segnalando una truffa online che gioca su una catena di errori della vittima per prelevare soldi dal suo conto bancario. Inizia con un SMS apparentemente inviato da una banca o da un sistema di pagamento. Il messaggio avverte il destinatario che il suo conto, aperto presso una banca che si avvale dei servizi di pagamento, ad esempio, di Nexi per la gestione delle carte di credito, “è stato limitato a causa della mancata conformità con la normativa PSD2” e lo invita a riattivare immediatamente il servizio. Naturalmente non è Nexi ad aver inviato il messaggio e non c’entra niente la banca del correntista. Qui c’è il primo errore da parte di chi riceve l’SMS: ad insospettirlo dovrebbe essere la scarsa chiarezza del testo e lo stile incerto. Ma spesso siamo distratti: i cyber-truffatori lo sanno e ne approfittano.
Il messaggio contiene un link. Secondo errore: cliccare su quel link. Il collegamento porta a una pagina web che imita l’interfaccia dell’app del sistema di pagamenti. In questa pagina, vengono richiesti i dati di accesso dell’utente, che, una volta inseriti, finiscono direttamente nelle mani del truffatore.
A quel punto il criminale è in grado di entrare nell’account della vittima e cambiare il numero di telefono associato all’account. Da quel momento, tutte le vere comunicazioni arriveranno al cellulare del truffatore, non più al legittimo titolare del conto.
Nel frattempo, la vittima riceve un messaggio, stavolta autentico, da Nexi, che lo avvisa della modifica del numero di telefono associato al servizio. Terzo errore: non prestare attenzione o farsi sfuggire o rimandare la lettura di quel messaggio.
Un presunto operatore di call center contatta poi quella persona, di cui naturalmente ha il numero telefonico fin dal primo momento, offrendo assistenza per completare l’operazione di sicurezza apparentemente interrotta. Mentre questo avviene, la persona riceve dalla sua banca una serie di codici di sicurezza per accedere al conto. È evidente che il cyber-criminale è riuscito in qualche modo a passare dall’account Nexi a quello del conto corrente bancario. Ma gli servono i codici di sicurezza, che lui non può visualizzare. Perciò chiede alla vittima di leggerglieli. È il quarto errore.
Dopo aver ottenuto l’accesso al conto bancario, il criminale richiede e ottiene ulteriori codici per autorizzare un bonifico verso un conto corrente associato a una carta prepagata. Si tratta di bonifico istantaneo e non può essere annullato una volta autorizzato. In questo modo può sottrarre al malcapitato anche somme importanti, dipende dal massimale per singola operazione stabilito nel contratto stipulato tra l’individuo e la propria banca.
In diversi casi, successivamente, il truffato riceve una chiamata dalla banca, stavolta quella vera, che si è accorta delle operazioni sospette e ne chiede conferma. Ma è troppo tardi: il truffatore ha già svuotato e chiuso il proprio conto, rendendo impossibile recuperare i soldi.
Viene da chiedersi come sia possibile mettere in fila questa catena di errori, eppure succede. Spesso facciamo troppe cose insieme e questo ci rende poco lucidi, oppure leggiamo distrattamente i messaggi, o tendiamo a fidarci troppo.
Invece dobbiamo diffidare di messaggi inattesi che richiedono azioni immediate, soprattutto se riguardano il nostro denaro: banche e società di servizi finanziari non chiedono mai di fornire o verificare i dati sensibili attraverso link inviati via SMS o email.
Prima di cliccare su qualsiasi link, verifichiamo il mittente del messaggio e controlliamo sempre l’URL: se contiene errori di ortografia o differenze rispetto all’indirizzo ufficiale è fraudolento. Piuttosto accediamo ai nostri account direttamente dal web, digitando l’indirizzo del sito, oppure usiamo le app aprendole direttamente nel telefono.
Non condividiamo mai le nostre credenziali di accesso a servizi finanziari con nessuno, nemmeno se viene richiesto da un presunto operatore di call center.
Se riceviamo un messaggio sospetto che sembra provenire dalla nostra banca o da un altro fornitore di servizi finanziari, contattiamo direttamente l’istituto, meglio se la nostra filiale di riferimento, per verificare la sua autenticità, utilizzando i recapiti ufficiali, non quelli presenti nel messaggio sospetto.
Se stiamo sempre in guardia, il nostro denaro sarà molto più sicuro.
