La tua banca ti chiama? Allerta per una nuova truffa, le banche avvertono che non chiameranno mai per richiedere dati
Crescono le segnalazioni di attacchi di furto d’identità contro istituti bancari tramite numeri telefonici
Emergono nuove truffe bancarie mirate a frodare i clienti. L’Istituto Nazionale per la Cybersecurity (Incibe) ha segnalato un aumento delle segnalazioni riguardanti queste frodi, che vengono perpetrate attraverso chiamate telefoniche. In queste chiamate, i truffatori si fanno passare per l’ente bancario ufficiale e inducono la vittima a compiere azioni, sostenendo che ci sia un problema di sicurezza. Se la vittima accetta, rischia di subire ingenti perdite finanziarie in pochi minuti.
Fonti dell’organizzazione per la sicurezza informatica hanno identificato tre diverse modalità di truffa. Tutte queste truffe si basano su chiamate telefoniche in cui i truffatori si presentano come agenti bancari, fornendo nomi e cognomi per aumentare la fiducia della vittima.
Nel primo scenario, i truffatori richiedono alla vittima di fornire codici inviati tramite l’app bancaria ufficiale. Questi codici, in realtà, vengono utilizzati per autorizzare trasferimenti non autorizzati dalla vittima (“generalmente trasferimenti dai suoi conti a quelli del criminale informatico senza il suo consenso”, come specificato da Incibe). Nella seconda variante, i truffatori cercano di ottenere l’accesso all’app bancaria della vittima per poterla gestire a loro piacimento.
Come di consueto, la truffa inizia con un messaggio SMS, mirando a creare un senso di urgenza nella vittima, abbassando così le sue difese contro il possibile inganno. Nel caso in questione, in cui i truffatori si fingevano essere la BBVA, l’SMS è stato inviato in modo da sembrare un legittimo messaggio della banca, notificando un “accesso da un nuovo dispositivo”.
Pochi minuti dopo, la vittima riceve un altro SMS: “A causa del rischio di frode nel sistema, trasferirai i fondi su un nuovo conto”. Questi due messaggi generano allarme nella vittima, che decide di chiamare il numero ufficiale della BBVA, trovato online. Finora, la truffa sembra seguire lo schema delle normali truffe tramite SMS. Tuttavia, da questo momento in poi, i truffatori mostrano un nuovo livello di sofisticazione, dimostrando di avere accesso a maggiori informazioni personali sulla vittima.
Mentre la vittima attende di essere richiamata dal numero ufficiale della banca, riceve un terzo SMS: “Segui le istruzioni telefoniche per annullare l’operazione. Condividi le informazioni solo con l’agente: Alejandra Santos.” Successivamente, riceve una chiamata: sullo schermo appare lo stesso numero di telefono che aveva composto per contattare la banca, quindi risponde.
La tua banca ti chiama? Allerta per una nuova truffa
Sofisticato, ma semplice nell’esecuzione
Falsificare il numero di telefono di un ente bancario è un passo in più rispetto a farlo tramite SMS, un sistema di comunicazione percepito come sempre più insicuro dai cittadini. Si tratta di un servizio che può essere acquistato sul mercato del dark web , ma anche contrattato tramite servizi commerciali.
“Per chiamare falsificando un numero esistono due metodi”, spiega l’esperto di sicurezza informatica Jorge Louzao in una conversazione con questo mezzo. Il primo consiste nell’utilizzare un servizio VoIP (Voice over Internet Protocol) che permette di contattare il destinatario come se fosse una normale chiamata con la differenza che la comunicazione avviene tramite Internet, non utilizzando la rete telefonica. Il secondo metodo è “avere un’interfaccia di accesso primaria al tuo servizio”.
“Esistono provider VoIP che permettono di configurare direttamente il numero che apparirà sullo schermo del destinatario”, rivela, sottolineando che molti di questi servizi “solitamente non controllano” se il cliente è il proprietario del numero di telefono che desiderano. stanno richiedendo. Lo specialista spiega che ci sono paesi che non pongono alcuna restrizione allo svolgimento di questa azione, anche se “ovviamente se è per scopi criminali non è legale da nessuna parte”.
“E a parità di telefoni cellulari, puoi pagare per cambiare il mittente, ad esempio ING invia i suoi messaggi SMS con un mittente ING, non con un numero. Qualsiasi criminale che ti colpisce con il mittente ING apparirà nel thread di messaggi di questa banca nella tua applicazione mobile. Di solito ci sono delle limitazioni, ad esempio un provider VoIP del Regno Unito probabilmente ti consentirà di utilizzare solo numeri di telefoni del Regno Unito, il che potrebbe comunque consentirti di utilizzare il servizio per truffare gli inglesi, ad esempio. Se aggiungi una carta rubata per il pagamento e hai un buon scudo per proteggerti dall’essere scoperto”, aggiunge.
Talvolta i servizi di furto d’identità vengono offerti apertamente su Internet. Alla fine del 2023, Europol ha arrestato 142 persone legate a iSpoof.me, un sito specializzato in questi attacchi. “Il sito web consentiva a coloro che si registravano e pagavano per il servizio di effettuare chiamate false in modo anonimo, inviare messaggi registrati e intercettare password monouso”, ha spiegato l’agenzia.
iSpoof.me è riuscito a guadagnare 3,7 milioni di euro in un periodo di attività di 16 mesi. Europol ha stimato che i suoi servizi hanno causato appropriazione indebita di circa 100 milioni di euro da parte delle vittime.
“Gli utenti potrebbero impersonare innumerevoli entità (come banche, società di vendita al dettaglio e istituzioni governative) per ottenere vantaggi finanziari e ingenti perdite per le vittime”, ha aggiunto. All’operazione hanno partecipato l’FBI e la polizia di Australia, Canada, Francia, Germania, Irlanda, Lituania, Paesi Bassi, Ucraina e Regno Unito.
La tua banca ti chiama? Allerta per una nuova truffa
Le banche avvertono che non chiameranno mai per richiedere dati
“I tentativi di frode basati sull’ingegneria sociale sono molto comuni e colpiscono la maggior parte delle banche. I criminali informatici, attraverso e-mail, messaggi SMS e telefonate, si spacciano per entità finanziarie per cercare di ottenere informazioni personali e bancarie delle persone”, dicono a questo mezzo fonti del BBVA.
“In BBVA stiamo portando avanti una campagna di prevenzione e sensibilizzazione per i nostri clienti attraverso diversi canali (app, sito web, e-mail e social network) per avvisarli di questo tipo di truffe. Ad esempio, quando accede all’app o al sito web BBVA, il cliente incontra ripetutamente messaggi di questo tipo: In BBVA non chiameremo MAI per chiedere i tuoi codici di accesso o codici SMS per autorizzare le operazioni. Se ricevi una chiamata come questa, è una frode. Non fornire i tuoi dati .”
Da Caixabank espongono un problema simile e chiedono ai clienti di non cadere nell’urgenza che i criminali informatici cercano di imporre loro, cosa fondamentale per il successo degli attacchi: “Con qualsiasi telefonata in cui richiedono informazioni personali e/o bancarie o effettuano un’operazione (ad esempio un trasferimento), non dovrai mai fornire alcun dato o effettuare alcun pagamento.”
