Banca online: attenti alla truffa dell'SMS da Lugano
I truffatori sono sempre più smart e ora simulano persino le misure di sicurezza legittime per proteggere i conti correnti: ma non bisogna abboccare all'amo
Con il boom dell’home banking, in particolare di quello gestito dagli smartphone tramite le app delle banche, controllare il proprio conto corrente online e fare operazioni è sempre più facile, comodo e, per fortuna, anche più sicuro. Questo perché, sia a livello centrale europeo che a livello di singola banca, sono state predisposte robuste misure di sicurezza che proteggono i conti.
Oggi l’unico modo che hanno i truffatori per sottrarre denaro da un conto corrente è quello di rubare le credenziali di accesso, convincendo con l’inganno l’utente a dargliele. Ed è proprio quello che tentano di fare in continuazione i cybercriminali, come conferma l’ultima truffa che, secondo l’associazione di tutela dei diritti dei consumatori Codici (Centro per i Diritti del Cittadino), sta circolando negli ultimi tempi. Una truffa molto intelligente, perché simula proprio una importante misura di sicurezza prevista per proteggere le credenziali di accesso degli account.
Il nuovo dispositivo da Lugano
La truffa si basa su un SMS (quindi si tratta di “Smishing”, cioè phishing tramite SMS), apparentemente inviato dalla banca (viene usata una tecnica chiamata “ID Spoofing“), che avverte l’utente di un accesso all’app eseguito da un nuovo dispositivo, localizzato a Lugano.
Questo tipo di SMS è molto simile, ad esempio, a quello che invia Google quando cambiamo telefono e rileva che stiamo accedendo al nostro account da un dispositivo sconosciuto. Messaggi simili, ma via email, li manda Facebook quando qualcuno prova ad accedere al nostro profilo da un luogo sconosciuto.
Insomma, questo tipo di SMS è effettivamente una misura di sicurezza a tutela degli utenti, ma solo quando è vero. E, in questo caso, non è vero affatto.
L’SMS truffa
La conferma del fatto che non si tratta di una misura di sicurezza, ma di un tentativo di truffa, è tutta in un dettaglio: l’SMS ci invita a seguire un link nel caso in cui ad aver fatto l’accesso da Lugano non siamo stati noi. Facendo tap sul link, infatti, iniziano i problemi.
Il link porta ad una pagina su un sito fake, che imita fedelmente quello della banca, nel quale ci viene chiesto di confermare nome utente e password per poi cambiare la password e mettere al sicuro il conto corrente. Se cambiamo password, questa è l’idea, nessuno potrà accedere al conto né da Lugano né da nessun altro posto.
Ma, in realtà, se lo facciamo siamo nei guai: il nostro nome utente e la nostra password vengono infatti raccolti dal sito falso e inviati ai truffatori, che immediatamente li useranno per iniziare a fare bonifici per svuotarci il conto.
Come proteggerci da questa truffa
Questa truffa è la versione più evoluta di un altro raggiro, che veniva tentato fino a poco tempo fa via telefono da persone in carne ed ossa che si fingevano dipendenti dalla banca. Anche in quel caso dicevano che qualcuno aveva fatto un accesso anomalo e che bisognava aggiornare la password.
Poiché è proprio se noi aggiorniamo la password che la truffa va in porto, è chiaro che per difenderci non dobbiamo mai farlo. Nessuna banca, infatti, manda link per cambiare le credenziali, né chiede al telefono le credenziali direttamente all’utente.
Se ciò succede, dunque, è certamente un tentativo di truffa e non bisogna abboccare all’amo. Piuttosto dobbiamo essere noi a chiamare la banca, per capire cosa sta succedendo e, meglio ancora, bloccare le operazioni online sul conto (tramite la app, il sito o il call center della banca).
