Phishing, Vishing, Smishing : Operazione Alias, Sgominata Banda di Predatori di Account Bancari

Deciso incremento nelle tecniche di frodi agli account bancari in Italia, e non solo.

Aggiornamento:

Dopo aver pubblicato questo innocente articolo, un Suomi (finlandese, n.d.R.) mi ha detto:”…gli Italiani sono dei poveri cialtroni per come vengono truffati ovunque è probabile, ma i Russi invece hanno Banche che invitano TUTTI a farsi truffare!!!

Se rubo ai Russi l’Italia permetterà la mia estradizione a Mosca??? Potrebbero uccidermi..

*

C’e’ moltissimo malware che gira nelle eMail frode che prende di mira i servizi bancari, postali, di spedizione, nascosto in allegati di false fatture, richieste, report, etc etc.

Sarà perchè gli Italiani sono molto creduloni?

Comunque, vediamo i dettagli dell’Operazione Alias.

PoliziadiStato:

Nella sfera di una complessa attività investigativa, svolta con l’impiego di attività tecniche, e coordinata in ambito nazionale dal Servizio Polizia Postale e delle Comunicazioni, gli investigatori del Compartimento Polizia Postale e delle Comunicazioni per la Liguria, coadiuvati dall’omologo Ufficio campano, hanno individuato e segnalato alla Autorità giudiziaria genovese un gruppo criminale che era dedito al phishing bancario di ultima generazione.

A compimento dell’indagine sono state effettuate numerose perquisizioni dalle quali e emerso un copioso materiale informatico utile ai fini probatori, che ha consentito di denunciare a piede libero quattro frodatori. La cellula criminale sgominata effettuava frodi ai correntisti di tutti gli istituti bancari operanti in Italia, sottraendo cifre da un minimo di 300 fino a 55000 euro.

Questo genere di frodi perpetrate attraverso lo “Smishing-Vishing” consistono nel ricevere comunicazioni che sembrano provenire dalla propria banca, che invitano il cittadino ad accedere al proprio conto on-line mediante un web-link.

Si, classico. Ogni SMS che ricevete dalla vostra Banca, o Posta che sia, al 100% è una truffa sistematica, perchè in realtà è un attore che si spaccia per esse, speso per carprire le vostre credenziali di accesso con sagaci e alquanto logopediche situazioni paventate utili ad ingannare le menti fragili di tante casalinghe di Voghera.

Lo “smishing” in particolare si concretizza attraverso messaggi sms malevoli che, per una mera affinità semantica, si collocano in coda ad altri messaggi autentici ricevuti dalla banca; tali sms contengono link di rinvio a pagine di phishing dove l’utente, ritenendo di operare sulla pagina veritiera, è indotto ad inserire le proprie credenziali bancarie consegnando così i propri dati ai cyber-criminali.

Si. Una volta capitò che in un server dove tenevamo alcuni siti per colpa di un Co_Amministratore che aveva garantito “permessi” speciali ad una cartella ci ritrovammo con una pagina clone di una nota Banca di Scozia, ma il danno fu che non ne fummo consapevoli fin quando Agenti dell’RSA e del GCHQ non ci contattarono per segnalarci la questione.
Ci chiesero di dare loro la pagina .HTML che avevano uploadato i furfanti, e ci ringraziarono.
Rimasi solo sbalordito dal fatto che queste persone sono davvero molto professionali, fosse stata una Banca Italiana saremmo finiti in carcere con le peggiori accuse del caso, invece gli Inglesi sapevano benissimo che noi eravamo completamente all’oscuro di tutto. D’altronde non vai a fare estorsioni e truffe presentandoti con la tua vera identità e il tuo indirizzo di casa. Imparate gente, imparate.

La tecnica del vishing invece consiste nel contattare la potenziale vittima tramite una chiamata telefonica nella quale un finto operatore di banca, attraverso raggiri ed argomentazioni capziose, la persuade a fornire i codici dispositivi del proprio rapporto finanziario; è frequente, nel corso di tali chiamate, che il truffatore prospetti alla vittima la necessità di ottenere il suo codice al fine di bloccare alcuni tentativi illeciti di prelievo operati da terzi.

Sfruttando questo momento di incertezza i criminali ottengono le credenziali di accesso ai conti correnti che subito dopo provvedono a svuotare.

La frode è particolarmente subdola poiché le chiamate sembrano arrivare dal numero della propria banca, da qui l’appellativo di “Alias” e, parlando con un operatore, il correntista è convinto quindi di trovarsi in un ambiente favorevole, nella sua cosiddetta “COMFORT ZONE” ed abbassa il suo livello di allerta.

Infine vi rimandiamo ai consigli della P.P. per questi casi, nei quali sottolineiamo solo le parti salienti a nostro avviso.

Come difendersi da queste frodi

I cittadini devono sapere che i numeri verdi per loro natura sono numeri che funzionano in ricezione e non vengono utilizzati per effettuare chiamate in uscita.

La Banca mai contatterà i propri clienti attraverso un numero verde.

Anche i numeri territoriali assegnati alla banca possono essere dissimulati quindi nel dubbio è meglio concludere la chiamata e telefonare direttamente alla propria filiale.

Inoltre è bene ricordare che nessuna banca richiede i dati di accesso al proprio conto via email o via SMS.

Quindi, in caso di ricezione è bene non rispondere mai a email o SMS che chiedono di verificare i propri dati personali, non cliccare mai sui link contenuti in email o SMS e ovviamente, non inserire mai le informazioni richieste.

Qualora si sia caduti nella trappola fornendo i propri dati, contattare immediatamente il numero verde della propria banca e bloccare l’accesso al conto ed eventuali pagamenti fraudolenti già effettuati.

In autonomia si può procedere immediatamente al cambio della password per accedere al conto.

Nel caso si siano forniti codici dispositivi necessari per utilizzare l’applicazione della banca installata sul proprio telefono, riutilizzare immediatamente l’applicazione: in questo modo verrà inibita la possibilità al truffatore di utilizzarla.

Concludendo:

– Non “cliccare” sui link inviati tramite e-mail o sms sospetti.

Verificare sempre l’autenticità della pagina dell’istituto bancario.

Non fornire alcuna credenziali di accesso/codice otp via telefono o sms.

– Effettuare la scansione del dispositivo con un antivirus aggiornato.

– Modificare le credenziali di accesso ai servizi on-line in caso di accessi sospetti.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ΜEδουσα