Ancora attacchi alle carte prepagate: che sta succedendo
Due specifiche carte di pagamento sono in questi giorni oggetto di altrettante campagne di phishing: ecco come difendere il proprio conto corrente online
Le carte di pagamento prepagate sono sempre più diffuse anche in Italia, per la loro comodità e per i costi di gestione molto bassi. A queste caratteristiche se ne aggiunge un’altra, ancor più importante: la sicurezza. Questi strumenti di pagamento, infatti, sono mediamente molto sicuri e l’unico modo per violarli è sottrarre all’utente le credenziali di accesso al conto online. Far phishing, per dirla con un termine che ormai è diventato (purtroppo) noto a tutti.
E proprio il phishing è l’oggetto di due allarmi specifici, su altrettanti strumenti di pagamento, che in questi giorni sono di nuovo sotto attacco: la carta prepagata Hype e l’app di pagamento YAP, collegata al servizio Nexi e operante su circuito Mastercard.
Phishing Hype: cosa sta succedendo
Il primo allarme è, in realtà, un avviso esplicito: in questi giorni chi ha una carta Hype sta ricevendo un insistente avviso a stare attento alla campagna di phishing attualmente in corso in Italia.
Il messaggio di avviso viene mostrato ogni volta che si apre l’app di Hype, subito dopo l’autenticazione, e recita così:
Truffa in corso: Hype non ti chiederà mai di eseguire operazioni finanziarie sul tuo conto. Finti operatori Hype stanno chiamando i clienti chiedendo, per false ragioni di sicurezza, di trasferire il saldo presente sul conto a soggetti non meglio identificati tramite bonifico, trasferimento in bitcoin, o “invia denaro”. Non cascarci, è una truffa! Hype non ti chiederà mai di eseguire operazioni di questo tipo!
Non è affatto la prima volta che i truffatori provano a ingannare i clienti Hype con una campagna di phishing specifica. In questo caso, tra l’altro, la campagna è abbastanza raffinata perché prevede anche l’opzione del pagamento in Bitcoin.
Opzione solitamente improbabile e complessa, per l’utente normale, ma non per il cliente Hype che ha a disposizione la possibilità di comprare, vendere e trasferire Bitcoin direttamente dall’app, attingendo dal suo conto online.
Phishing YAP: cosa sta succedendo
Su YAP, invece, non c’è un avviso interno ma una campagna di phishing documentata dagli esperti di cyber sicurezza di d3Lab, che hanno intercettato un SMS con un link al suo interno, che porta ad un sito YAP contraffatto: sembra vero, ma è tutto finto.
All’interno del sito, con le solite finte ragioni di sicurezza, si chiede all’utente di inserire il proprio numero di telefono, la password di YAP e il codice OTP che a breve l’utente riceve. Inserendo i dati, infatti, il cliente YAP non fa altro che consegnare il suo conto ai truffatori.
I quali, immediatamente, faranno partire un pagamento verso i loro conti. Ma tale pagamento necessita del codice OTP, che verrà inviato all’utente e non al truffatore. Per questo i criminali chiedono l’OTP e, se l’utente ci casca, il conto viene completamente svuotato.
Come proteggere le carte di pagamento
Poiché tutti gli strumenti di pagamento e i conti correnti online delle banche europee sono ormai letteralmente blindati, i truffatori si sono da tempo concentrati sull’anello debole della catena: il correntista.
Chi ha un conto online, infatti, ha anche le chiavi d’accesso e, se non è possibile violare il conto, è a volte possibile ingannare il correntista e convincerlo a cedere a sua insaputa i dati necessari a fare movimenti dal conto.
Per questo il phishing è sempre più diffuso, evoluto e raffinato e per questo l’utente deve stare sempre più attento e diffidare sempre di qualunque comunicazione che sembra venire dalla banca o dalla società fintech che gestisce la carta, se in questa comunicazione c’è una richiesta di comunicare i dati di accesso, o di fare un pagamento.
La regola è chiarissima: se ci stanno chiedendo i dati per accedere al conto, allora è truffa. Se ci stanno chiedendo di fare un pagamento, allora è truffa.