Stanno diventando sempre più elaborate le truffe perpetrate al fine di aggirare le complesse procedure di sicurezza della Strong Customer Authentication (SCA), l’autenticazione forte a due fattori utilizzata nei servizi dispositivi o di prelievo forniti dagli istituti finanziari e di pagamento introdotta dalla direttiva 2015/2366/(UE), la cosiddetta PSD2 recepita in Italia con Decreto Legislativo 15 dicembre 2017, n. 218.
E così le tradizionali forme di phishing, ovvero il tipo di truffa effettuata su internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale, si stanno arricchendo di varianti più o meno fantasiose.
Indice degli argomenti
Le “nuove” tecniche di phishing
Tra le più in voga negli ultimi mesi è la tecnica del SIM Swapping, ovvero l’atto di trasferire da una SIM card a un’altra, gestita da malintenzionati, e poi dismessa dopo le operazioni fraudolente, le informazioni associate ad un conto bancario, ad un rapporto finanziario e così via.
Poiché tra i requisiti della doppia autenticazione vi è quasi sempre uno smartphone, dal momento del trasferimento delle informazioni da una SIM ad un’altra, i malintenzionati hanno tutto il tempo di autenticare le proprie operazioni, inserendo le password temporanee inviate dall’ignara banca al nuovo numero.
Per poter accedere alle informazioni utili per cambiare la SIM, i malviventi hanno a disposizione una gamma di azioni preventive che, di solito, prevedono la collaborazione involontaria del bersaglio, come ad esempio quella di telefonare preventivamente alla vittima spacciandosi per operatori delle forze dell’ordine o funzionario del servizio bancario, e richiedendo di autenticare una data operazione, al fine di evitare una truffa in atto.
Questa tecnica è denominata vhishing, dalle parole voice phishing, ovvero l’uso della voce da parte di un “finto” soggetto appartenente ad un ente riconosciuto ovvero, qualora l’azione venga intrapresa attraverso l’utilizzo di un SMS che richiede le stesse azioni di cui sopra, smishing.
La frode della virtualizzazione dei mezzi di pagamento mobile
Un’altra tecnica sempre più utilizzata che, stante le politiche di cashless governative, rischia di divenire endemica nei prossimi tempi, è quella dell’uso fraudolento di un servizio perfettamente lecito e utile quale quello della virtualizzazione dei mezzi di pagamenti sugli smartphone, ovvero il trasferimento su un’app presente sullo smartphone dei riferimenti della carta di credito ( ma può essere anche di debito o prepagata) e quindi la possibilità di usare direttamente il device mobile per pagare.
In casi come questi la “virtualizzazione” della carta viene preceduta da messaggio o da telefonate che invitano l’ignaro bersaglio a indicare numero della carta e codice temporaneo di sblocco, al fine di evitare una truffa in atto.
L’utente non ha idea del fatto che quelle informazioni serviranno per “digitalizzare” la propria carta, e per compiere operazioni fraudolente.
Una volta ricevute queste credenziali i malviventi, nel giro di pochi secondi, si recano sul sito da cui è possibile scaricare l’app, digitalizzano la carta e forniscono un nuovo numero di telefono su cui comunicare il codice di sblocco per le operazioni di pagamento.
A quel punto i malviventi compiono in rapida successione una serie di operazioni dispositive che in genere non lasciano scampo all’ignaro utente, il quale non riesce, a causa della rapidità delle operazioni, a bloccare in tempo lo strumento di pagamento.
Strong Customer Authentication: come difendersi dalle truffe
Di fronte all’aumento di truffe il cui scopo è quello di aggirare i sistemi di sicurezza introdotti con la Strong Customer Authentication nei servizi dispositivi (o di prelievo) forniti dagli istituti finanziari e di pagamento vale la regola di sempre: tenere gli occhi bene aperti per non cadere nelle numerose trappole preparate ad hoc dai criminal hacker.
Quindi, mai fornire le proprie credenziali di accesso ai servizi finanziari quando ci vengono richiesti via e-mail, per telefono o con un semplice SMS: nessuna banca ci chiederà mai simili informazioni utilizzando questi canali di comunicazione. Piuttosto, conviene effettuare una semplice telefonata al proprio istituto di credito per accertarsi della veridicità di presunti controlli di sicurezza in corso.
Ecco, infine, una breve guida per difendersi dai tentativi di truffa via phishing e smishing:
- controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo;
- prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà: basta passare il mouse sopra il link stesso;
- usare solo connessioni sicure, in particolar modo quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i Wi-Fi pubblici, senza una password di protezione: in caso di utilizzo di una connessione non sicura, infatti, i cybercriminali possono reindirizzarci, senza essere visti, a pagine di phishing;
- controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking, i negozi online, i social media e via discorrendo;
- non installare app che provengono da mittenti sconosciuti. Nel caso in cui si riceva un SMS con la richiesta di scaricare qualcosa sul telefono cliccando su un link, accertarsi di aver fatto una serie di verifiche: cercare il nome dello sviluppatore dell’applicazione, il nome del prodotto, le statistiche di download e le recensioni dell’applicazione. Cercare l’eventuale presenza di errori grammaticali e di battitura nella descrizione. La loro presenza infatti, è solitamente un segnale che l’applicazione è falsa;
- fare attenzione a ciò su cui si fa clic: all’interno di un SMS assicurarsi di cliccare solo sui link che provengono da una fonte attendibile. Se non si è in grado di riconoscere il mittente o se il contenuto degli SMS non sembra familiare, prestare molta attenzione ed evitare qualsiasi tipo di interazione con il messaggio;
- utilizzare un software di sicurezza sia per PC sia per dispositivi mobile.
