Conto corrente a rischio: difendersi dalle truffe

Il conto corrente è la finestra di accesso al nostro denaro. Le truffe online utilizzano tecnologie informatiche e semplici strategie di ingegneria sociale per carpire dati di sicurezza e appropriarsi dei nostri risparmi. Buon senso e alcune accortezze possono aiutarci a proteggere il nostro conto. Facciamo attenzione anche allo Stato. I suoi prelievi forzosi non sono meno deleteri per il nostro denaro.

Image

Il conto corrente è il mezzo che ci conduce al nostro denaro. Il bene materiale più prezioso che possediamo, lo affidiamo a estranei affinché lo proteggano da furti e inflazione. Ci mettono in mano un numero lunghissimo e alcune credenziali. Il nostro conto corrente, il core business di ogni banca ma anche il suo punto debole, la finestra da dove possono accedere approfittatori e truffe di ogni tipo a nostro svantaggio, da dove lo Stato può prelevare a proprio piacimento fondi per gestire il proprio debito.

L’incremento dell’utilizzo dei servizi di homebanking da parte dei correntisti, ha offerto ai truffatori online una platea molto più ampia di potenziali vittime sulle quali mettere in atto tecniche informatiche, ma spesso anche semplici stratagemmi che sfruttano la buona fede delle persone mettendo in forte pericolo il loro risparmi. Negli ultimi mesi, la complicità della pandemia da Coronavirus con distanziamento sociale e ingressi in filiale contingentati, ha amplificato ulteriormente la diffusione di opportunità di truffe sul conto corrente.

Una delle più note e discusse, è forse quella del Phishing, neologismo inglese con cui si fa riferimento al verbo pescare.

Il Phishing sul conto corrente

È davvero inverosimile pensare che un qualunque utente online in possesso di un’email non abbia mai ricevuto un messaggio legato a questa tecnica. Fino a qualche anno fa erano soprattutto i messaggi apparentemente provenienti da Poste Italiane a detenere il primato in termini di invii massivi, sicuramente dovuti al grande numero di carte emesse dall’azienda che aumenta la probabilità di trovare un possessore. Ma moltissimi nomi di banche sono stati utilizzati per questo scopo.

Sono i messaggi email che graficamente riproducono perfettamente pagine del sito web di un istituto di credito. Dopo una breve premessa in cui si descrive la motivazione della comunicazione, di solito verifiche alle procedure di accesso con credenziali, oppure a operazioni di manutenzione del sito o altro ancora, il cliente è invitato cortesemente a accedere tramite i link presenti nel messaggio al proprio account con le credenziali personali e eseguire le operazioni di verifica necessarie. È evidente che non esiste niente di tutto ciò, ma esclusivamente un metodo fraudolento attraverso cui ottenere le chiavi di accesso al conto corrente. I link indicati, infatti, rimandano a pagine web che con la banca o con Poste Italiane hanno in comune solo la grafica.

Una volta inseriti i dati di accesso sarà facile per chi sta dietro il meccanismo utilizzarli a proprio piacimento per operazioni sul nostro conto corrente.

La stessa tecnica si può presentare anche su mobile con messaggi SMS o Whatsapp, oppure ancora in forma di messaggi di un presunto corriere che per effettuare una consegna richiede l'apertura di un determinato link. Questa azione potrebbe comportare un’infezione del sistema operativo (sia pc che smartphone) che andrà ad agevolare i truffatori nel reperimento dei nostri dati sensibili custoditi.

Come riconoscere il Phishing su conto corrente?

La prima regola da tenere a mente, in questa come in tutte le truffe online, è non aprire link sconosciuti. Le stesse banche e Poste Italiane ripetono da sempre che non invieranno mai ai propri clienti messaggi con richieste di inserimento delle credenziali se non dalle pagine ufficiali di login. Dunque qualunque richiesta di questo tipo (da qualunque fonte provenga) dovrà risultarci sempre sospetta. Analogo discorso per i messaggi di un corriere. Attendiamo davvero un pacco? Se sì, forse, una telefonata ci può liberare da ogni dubbio e comunque non vanno mai inseriti i dati di accesso nemmeno su richiesta di pagamenti per la consegna.

Inoltre, se leggiamo con attenzione l’indirizzo delle pagine aperte attraverso i link suggeriti, lo troveremo accompagnato da http, anziché https e l’icona del lucchetto, elementi che ci assicurano di essere all’interno di una connessione sicura. Inoltre lo stesso URL e il dominio della pagina raggiunta attraverso il link suggerito presenta una sequenza di lettere e parole che nulla hanno a che fare con il vero sito web della banca.

Il Sim swap per la truffa sul conto corrente

Con l’entrata in vigore della nuova direttiva europea sui servizi di pagamento digitali Psd2, l’accesso all’internet banking è possibile attraverso un secondo fattore di identificazione. Oltre a username e password il cliente deve inserire durante il login un terzo valore, ottenuto fino a poco tempo fa dai token fisici (le chiavette che generavano codici), ora invece generato dalle app degli smartphone o inviati dal sistema tramite SMS.

Se il phishing si fermava alla raccolta fraudolenta del primo fattore di identificazione, il Sim swap si procura ora la seconda parte mancante. Come? In qualche maniera i truffatori risalgono all’identità di una vittima, attraverso social, piattaforme di condivisione dati e simili, raggiungendo i documenti della vittima designata. Da questi riescono a ottenere dalla compagnia telefonica una sim sostitutiva a quella relativa all’utenza telefonica in uso dall’ignaro cliente, che a un certo punto si troverà con un numero inattivo fra le mani.

A questo punto, con la sim fisica in possesso, ottenere il secondo fattore identificativo per accedere al conto corrente rientrerà nelle normali manovre di homebanking. SMS o codici generati dall’App, arriveranno direttamente al dispositivo dei truffatori che ospita all’interno la sim sostitutiva. Qualunque operazione sarà possibile fino al momento in cui da un controllo della movimentazione, il correntista deciderà di intervenire.

Come evitare il Sim Swap su conto corrente?

I token fisici sono ormai in disuso, la chiavetta che rilascia codici sempre nuovi ormai è uno strumento obsoleto, sostituito dalle banche da codici generati da App su smartphone oppure SMS, comunque sempre correlati a una sim. Il problema del Sim swap sta proprio in questa dematerializzazione dello strumento di generazione del secondo fattore identificativo.

Qualora sia possibile, dovremmo sempre richiedere alla nostra banca, chiavi hardware di sicurezza per l’accesso al nostro conto corrente, ovvero piccoli dispositivi che rilasciano un codice dopo avere premuto un bottone fisico, e non dopo avere cliccato su un icona per ottenere un messaggio.

Oltre questo accorgimento che andrebbe a vanificare gli sforzi dei malintenzionati per ottenere la nostra sim, dovremmo avere l’accortezza di non diffondere i nostri dati personali. I social network sono la prima forte attrazione per farlo, seguono le piattaforme di condivisione come Google Drive, iCluod, Dropobox, dove magari per ragioni professionali e di comodità, condividiamo i nostri documenti di identità. Ebbene, non facciamolo. Esistono molti altri canali per farlo. Questi non sono sicuramente i più sicuri.

L’attacco di Spoofing per intercettare il conto corrente

Lo Spoofing possiamo definirlo il lato popolare del Phishing. Se questo estorce i dati di accesso al conto corrente attraverso link fasulli, lo Spoofing tenta di raggiungere lo stesso obiettivo attraverso la falsificazione dell’identità del mittente e messaggi SMS volti a convincere l’utente a comunicare i propri dati personali inserendoli su pagine web create appositamente.

Smishing, se il messaggio SMS contiene link o numeri telefonici dove confermare le proprie credenziali di accesso al conto. Vishing se la truffa è telefonica e la vittima è indotta a divulgare dati sensibili, informazioni di sicurezza o addirittura a trasferire denaro dietro suggerimenti di abili persuasori.

Espressioni esotiche sulle quali un hacker potrebbe parlare a lungo, ma che per un cliente di una banca significano esclusivamente tentativi di estorsione dei dati di sicurezza per accedere al conto corrente. Tante sfaccettature per un unico comune denominatore: un mittente fasullo dal quale difendersi. Come?

Difendere il conto corrente dallo Spoofing

Nessuna banca farà mai telefonate per verificare le nostre credenziali o il nostro PIN della carta di credito, oppure invierà SMS per condurci attraverso link, di dubbia costruzione, a pagine web dove effettuare login con motivazioni generiche relative alla sicurezza. E soprattutto, nessuna banca cercherà di convincerci a effettuare versamenti verso altri account. Se abbiamo ricevuto qualche richiesta simile, avremo fatto la cosa corretta ignorandola e a segnalarla alla nostra banca.

La gentilezza di un operatore telefonico non è sicuramente una garanzia della sua buona fede, e non deve indurci a sentirci in colpa se rifiutiamo le sue cortesie chiedendogli chiarimenti o ci permettiamo di fare le nostre dovute verifiche sul suo conto. Teniamo comunque sempre a mente che la nostra banca, qualunque essa sia, non ci contatterà mai in queste modalità. È quindi abbastanza facile capire dove sta l’inganno ogni qualvolta ci troviamo di fronte a uno di questi contatti.

Conto corrente attaccato su Whatsapp

L’applicazione di messaggistica non risulta esente da questa tipologia di raggiri. La tecnica del Phishing, consolidata nel tempo, ha trovato un nuovo media per diffondere massivamente i propri tentativi di truffa. Unicredit, BNL e Sanpaolo sembrano essere le aziende i cui nomi sono maggiormente utilizzati per il raggiro. Un messaggio abbastanza classico che inizia con Gentile Cliente, e che prosegue con un invito alla prudenza e alla verifica urgente delle proprie credenziali di accesso al conto per ragioni di sicurezza, è seguito da un link falso che conduce a pagine identiche graficamente a quelle della banca in questione, ma che rimandano a altri domini.

Come evitare le intrusioni sul conto tramite Whatsapp

La direttiva Psd2 ci viene in questo caso in soccorso: il truffatore non riuscirà a ottenere il nostro secondo fattore di identificazione, così intimamente legato alla nostra sim. Ma non dimentichiamoci mai che questi personaggi fanno della truffa la loro professione. Se hanno trovato qualcosa, sicuramente proseguiranno su quella strada alla ricerca dei tasselli mancanti. Un messaggio della nostra vera banca che ci comunica il tentativo di accesso non autorizzato al nostro conto corrente, è un segno evidente che abbiamo diffuso a estranei nostre informazioni (pur incomplete) relative alla sicurezza.

Link e messaggi su Whatsapp relativi alla sicurezza del nostro conto corrente sono sicuramente fraudolenti. Nessuna banca invierà comunicazioni di questo tipo. La cosa migliore da fare in questi casi è ignorare il contenuto eliminando il messaggio senza aprire i link contenuti, affinché non possano eventualmente infettare il sistema operativo. Avvisare inoltre la banca comunicando tutti i dati identificativi possibili.

Abbiamo visto come i truffatori per carpire i dati del nostro conto corrente non solo beneficiano di tecnologia e competenze informatiche altamente specialistiche, ma si avvalgono anche di elementi di ingegneria sociale per individuare le strategie di persuasione più convincenti volte a estorcere dati preziosi. Il buon senso è pertanto l’arma più sicura da adottare in ciascuno dei casi sopra esaminati.

E se il conto corrente è aggredito dallo Stato?

Truffe, hacker, Phisching e molto altro. Ma le Patrimoniali o i provvedimenti di prelievo forzoso dello Stato non possono venire considerati delle appropriazioni di un nostro bene? In questo caso non riceviamo messaggi o link, è tutto legale e rapidissimo: leggeremo soltanto il giorno successivo al prelevo un decreto che ci annuncerà l'operazione retrodatata sul nostro conto. Il nostro estratto conto ce lo confermerà.

In questo caso evitare l’accesso al nostro conto corrente è impossibile. Al Governo non servono password o token, tuttavia esistono alcune strategie che possiamo adottare per salvaguardare i risparmi anche da questo tipo di intrusione legalizzata.

Il buon senso rimane sempre la password che dovremo digitare per accedere a ogni nostra decisione. Seguendo questa regola qualunque truffatore troverà vita difficile nei suoi tentativi di violazione del nostro conto corrente.