In queste settimane è in atto una nuova ondata di tentativi di truffa ai danni dei titolari di conto corrente di due grandi gruppi bancari italiani.

Le azioni si concentrano, come nella stragrande parte dei casi, sui servizi di Home banking e passano attraverso messaggi SMS che inducono la vittima a compiere operazioni a proprio sfavore.

Siamo dunque nel campo dello smishing, ovvero di una sotto branca del phishing, la tecnica che per analogia con la pesca a strascico, raccoglie malcapitati attraverso messaggi un po’ desueti (SMS) anziché con le più recenti email.

Ma non è questione di definizioni, e nemmeno dell’utilizzo di grandi risorse e competenze informatiche. Una volta gettata l’esca, ai truffatori non rimane altro che attendere che dall’altra parte l’ingenuità faccia il proprio corso.

Conoscere il meccanismo di questi tentativi di truffa diventa allora l’arma migliore per difendere i nostri risparmi in giacenza sui conti correnti. Vediamo allora nei dettagli come funziona la truffa del messaggio SMS.

Come funziona la truffa del SMS sul conto corrente

Non è la prima volta che questa tecnica viene utilizzata in Italia. Già mesi fa avevamo assistito all’invio massivo di SMS che dopo avere messo in allarme il correntista, lo inducevano a compiere azioni sconvenienti.

Ora ci risiamo e i due istituti di credito presi di mira sono la Banca Monte Paschi di Siena e la Banca Credito Cooperativo Roma.

Il messaggio viene inviato dai truffatori all’indirizzo del potenziale cliente, con l‘indicazione del mittente Banca MPS o Credito Cooperativo.

Gli SMS inviati in questi giorni mettono in allarme il cliente informandolo che la banca ha registrato un accesso al conto corrente da parte di un dispositivo non autorizzato.

A volte il messaggio continua comunicando che il conto corrente in via precauzionale è stato bloccato, in altre versioni il cliente è invitato a verificare l’accaduto nelle modalità indicate.

In entrambi i casi al fondo del messaggio è presente un link che rimanda a una pagina web formalmente identica (aspetto, colori, layout) alla pagina di accesso al servizio di Home banking, ma che con quest’ultima non ha nulla a che vedere.

Con l’inserimento delle due credenziali di accesso (nome utente e password) il correntista ha già aperto un spiraglio sul proprio denaro ai truffatori, che ancora non saranno operativi sul conto.

Per raggiungere questa tappa del loro percorso, provvederanno a contattare telefonicamente il correntista per farsi comunicare le credenziali di autenticazione necessarie ad operare sul conto.

È evidente come il metodo adottato sia molto semplice e l’infrastruttura informatica sottostante non sia sicuramente fra le più sofisticate. Dopo un primo lancio massivo dell’allarme pescando da un archivio di utenze telefoniche ottenuto in maniera fraudolenta, i truffatori non attendono altro che l’ingenuità del correntista faccia il resto e consegni loro le chiavi di accesso alle giacenze.

Come riconoscere allora questi evidenti tentativi di truffa?

L'Avvocato Angelo Greco, direttore di laleggepertutti.it ci illustra in questo video YouTube come funziona la truffa del messaggio SMS di conto corrente bloccato.

Come riconoscere la truffa sul conto corrente (prima parte)?

Il panico gioca brutti scherzi. E se il panico si riversa sui risparmi di una vita, che tra l’altro sono immateriali e quantificabili unicamente in una serie di numeri su uno schermo del telefono, in pochi secondi si trasforma in terrore.

Questa eventualità i truffatori la conoscono bene, e per questa ragione fanno leva su situazioni di allarme che possono essere rappresentate da ipotetici accessi al conto corrente non autorizzati, conti bloccati e via di questo passo.

L’SMS che stanno arrivando in questi giorni (ma è comunque la normalità) al posto del vero numero del mittente, mostrano il nome della banca o il suo numero verde, in modo da conquistare la fiducia della vittima.

Si tratta di messaggi molto sintetici, che conservano sempre un tono generico, come adatto un po’ a tutte le occasioni. Tuttavia, quelle poche righe inviate contengono tutte le caratteristiche sufficienti a definirlo un messaggio truffa.

Innanzitutto, molto spesso raggiunge clienti che non sono correntisti della banca su cui si svolgerà la truffa. In queste settimane Banca MPS e Banca Credito Cooperativo Roma sono le protagoniste. Mesi fa lo sono state Unicredit e BancoPosta.

Se siamo raggiunti da un messaggio di questo genere e non siamo correntisti della banca 'mittente' dell’SMS, è evidente che qualcosa non torna, e alla fine la cosa nemmeno ci tocca.

Se invece lo siamo perché i messaggi inviati a caso ci hanno fortuitamente incrociati, allora potremmo allarmarci e credere che davvero stia accadendo qualcosa al nostro conto corrente a nostra insaputa.

Leggiamo allora le istruzioni: ci viene indicato di cliccare un link per accedere al nostro conto e verificare la situazione. Il link indicato è del tipo: https://bit.ly/3r...jjk.

Bitly.com è un servizio online in parte gratuito che consente di abbreviare gli indirizzi dei siti web per ragioni grafiche e per renderli più funzionali e leggibili una volta pubblicati. L’azienda che fornisce questo servizio è totalmente estranea sia alla truffa che alla banca.

Chiunque infatti può abbreviare un qualunque indirizzo web. Ad es., l’indirizzo di questo articolo può essere abbreviato in questa maniera: https://bit.ly/2Xf6a7e, e il link vi riporterà comunque alla pagina che state leggendo.

Nella truffa via SMS di cui parliamo, gli autori camuffano con questo sistema l’indirizzo web che fa capo a loro e che risulta qualcosa del tipo: https://ezh.ags.mybl...st.me/.

Nessun istituto di credito avrebbe ragioni valide per nascondere il proprio indirizzo web, e nemmeno si sognerebbe di farlo con il rischio di perdere in autorevolezza e affidabilità. Meno che mai lo farebbe inoltre attraverso un servizio online gratuito a libero accesso.

E ancora, il dominio ezh.ags.mybl...st.me non rimanda a niente che assomiglia anche lontanamente al marchio MPS o Credito Cooperativo.

Cliccare su questo link, molto probabilmente non installerà sui nostri dispositivi programmi fraudolenti e dannosi, ma semplicemente ci condurrà a una pagina web del tutto simile a quella della nostra banca che ci inviterà a inserire le nostre credenziali.

Come riconoscere la truffa sul conto corrente (seconda parte)?

Supponiamo allora di essere arrivati dove i nostri truffatori desiderano trovarci. Hanno fatto un buon lavoro di grafica, e la loro pagina degli accessi è perfettamente uguale a quella che siamo abituati a trovarci di fronte ogni volta che accediamo all’Home banking della nostra vera banca.

Se non fosse per due dettagli non trascurabili. Il primo è che quasi tutti i link presenti nella pagina non sono funzionanti. Il secondo è che per accedere al nostro conto corrente, oltre al codice utente e alla password ci viene richiesto il numero di cellulare.

L’accesso a qualunque Home banking non richiede quasi mai il numero di telefono, in quanto non viene riconosciuto come una credenziale di accesso. Allora perché i truffatori lo richiedono?

La risposta la troviamo poco dopo. Abbiamo provato a inserire casualmente codice utente, password e telefono e a procedere con l’invio delle credenziali. Il risultato è stato la comparsa di un avviso di servizio momentaneamente non disponibile con la promessa di venire contattati nelle prossime ore.

A questo punto la trappola che ci hanno preparato è quasi chiusa. Saremo contattati da una voce suadente e premurosa che nell’intento di aiutarci a sbloccare il conto o verificare cosa è accaduto, ci chiederà successivamente i pin monouso di accesso e dispositivi che gli leggeremo dal nostro cellulare, mentre lei si trova all’interno della nostra area riservata.

La truffa potrebbe essere ancora più raffinata, e portare il truffatore in un centro di assistenza telefonia e richiedere una Sim sostitutiva relativa all’utenza telefonica del correntista, il cui numero ormai conosce.

Con una falsa dichiarazione di smarrimento o di furto del cellulare, viene rilasciata una seconda Sim sempre intestata al cliente correntista, che da quel momento si trova con la vecchia Sim disabilitata e impossibilitato a ricevere codici autorizzativi da parte della vera banca.

Il truffatore è così in possesso del numero telefonico del correntista e delle password monouso (OTP) che l’istituto bancario invierà a quella stessa Sim per autorizzare le operazioni.

Con questi dati, sarà molto facile ai truffatori essere pienamente operativi sul conto corrente e disporre bonifici in uscita verso i propri conti correnti esteri. Mentre per noi sarà altrettanto semplice perdere tutti nostri risparmi con pochissime probabilità di riaverli.

Come evitare le truffe sul conto corrente online?

Nel caso della truffa tramite SMS, abbiamo visto come sia relativamente semplice smascherare l’inganno.

La strategia più efficace utilizzata dai truffatori è il panico che riescono a creare attraverso i messaggi inviati.

Conto bloccato’, ‘Accesso non autorizzato’ sono espressioni che inducono la vittima a compiere d’impulso le azioni riparatrici che gli stessi messaggi propongono: ‘Clicca qui’, ‘Inserisci le tue credenziali per sbloccare il conto’, ecc.

A cosa occorre dunque prestare attenzione, per riconoscere non solo la truffa con SMS ma buona parte delle altre truffe online sui conti corrente?

Innanzitutto, qualunque banca e istituto finanziario non richiedono mai la conferma o l’aggiornamento delle credenziali di accesso, sia via SMS, telelefono o email. Il loro utilizzo parte sempre su base volontaria dello stesso correntista e finalizzato all'accesso ai servizi di Home banking. Pertanto ogni richiesta di questo genere va letta con sospetto.

È buona cosa leggere con attenzione gli indirizzi dei link di accesso all’Home banking. Banca Monte Paschi di Siena ad es., presenta l’indirizzo web di questo tipo: www.mps.it. Se il link che ci suggeriscono di utilizzare è difforme, ad es. www.mps.eu, o qualunque altra espressione, allora sicuramente c’è qualcosa che non va.

Per ogni accesso al nostro conto corrente verifichiamo sempre che il sito web utilizzi i protocolli di trasmissione cifrati contraddistinti dal prefisso HTTPS, indicato nella barra degli indirizzi insieme all’icona del lucchetto.

Accediamo ai servizi, inoltre, sempre dalla stessa pagina di accesso ai servizi utilizzata regolarmente, diffidando dei link suggeriti che rimandano a essa o a una sua ingannevole copia.

Gli allegati non andrebbero mai scaricati o aperti se non provengono da mittenti sicuri. Anche contenuti apparentemente innocui in formato .doc o .pdf potrebbero celare applicazioni malevoli capaci di leggere le credenziali di accesso ai servizi finanziari inserite sul proprio smartphone.

Infine, l’ultima accortezza riguarda le password monouso, le cosiddette One Time Password, che sembrano essere l’oggetto della truffa sul conto corrente via SMS. Le OTP vengono inviate dalla banca per autorizzare le operazioni sul conto corrente. Essendo trasmesse via SMS risultano pertanto strettamente associate al numero telefonico, che come abbiamo visto può essere clonato.

Utilizzando invece i sistemi di autenticazione forte forniti dalle app degli istituti di credito, utilizzeremo secure code generati direttamente dal dispositivo del correntista. Un po’ come dire: fino a che lo smartphone rimane in mano mia, solo io posso accedere al mio conto corrente online.