Nuovi attacchi alle carte prepagate: cosa succede

In Italia si moltiplicano i tentativi di phishing ai danni dei possessori di carte prepagate. Negli ultimi giorni le truffe online hanno interessato soprattutto utenti Hype e YAP

Foto di Maurizio Perriello

Maurizio Perriello

Giornalista politico-economico

Giornalista e divulgatore esperto di geopolitica, guerra e tematiche ambientali. Collabora con testate nazionali e realtà accademiche.

Pubblicato: 11 Novembre 2023 09:40

I numeri delle carte prepagate in Italia segnalano un sensibile aumento nell’utilizzo da parte degli utenti. “Merito” della comodità di ricarica e saldo e soprattutto dei costi contenuti di gestione, ma anche per via della maggiore sicurezza percepita.

Ad aumentare negli ultimi tempi, però, sono purtroppo anche gli attacchi a questo tipo di carte. Attacchi che avvengono tramite l’ormai tristemente nota tecnica del phishing, tramite la quale i malviventi si impossessano delle credenziali di accesso al conto online e lo svuotano. Ecco cos’è successo negli ultimi episodi segnalati dalle autorità (qui parliamo invece di It-Alert e rischio phishing: quanto c’è di vero).

Gli ultimi casi di phishing alla carta Hype

Negli ultimi giorni sono stati segnalati nuovi attacchi ai possessori di carta prepagata Hype e agli utenti della app di pagamento YAP, collegata al servizio Nexi e attiva su circuito MasterCard. Nel primo caso, è stata la società stessa ad avvisare i propri clienti attraverso un messaggio reiterato che, di conseguenza, ha alzato il livello di allarme. Dopo essersi autentica sull’applicazione, gli utenti si sono trovati di fronte il seguente avviso: “Truffa in corso: Hype non ti chiederà mai di eseguire operazioni finanziarie sul tuo conto. Finti operatori Hype stanno chiamando i clienti chiedendo, per false ragioni di sicurezza, di trasferire il saldo presente sul conto a soggetti non meglio identificati tramite bonifico, trasferimento in Bitcoin, o ‘invia denaro’. Non cascarci, è una truffa! Hype non ti chiederà mai di eseguire operazioni di questo tipo!”.

La nuova modalità scelta dai truffatori, e al momento soltanto segnalata da Hype come avvertimento, chiama in causa le criptovalute, evidenziando una spiccata capacità di “fiutare” le ultime tendenze del mercato e le “debolezze” dei risparmiatori. I clienti Hype, infatti, possono acquistare, vendere e trasferire Bitcoin direttamente dall’app, direttamente tramite il conto online. Una possibilità abbastanza diffusa, stando ai dati, e che ha offerto un “nuovo bersaglio” ai truffatori.

Gli ultimi casi di phishing sulla app YAP

La cyber truffe hanno interessato anche l’applicazione YAP, uno strumento gratuito per smartphone e tablet che consente di aprire un conto online e di ottenere una carta prepagata virtuale (o anche fisica, se richiesta) a costo zero. A segnalare i tentativi di phishing sono stati gli analisti di d3Lab, che hanno rivelato la modalità fraudolenta: all’utente arriva un messaggio con un link che, una volta cliccato, apre un sito YAP falso ma verosimile per quanto riguarda grafica e interfaccia.

Il modus operandi è poi quello già visto in più occasioni: tirando in ballo fantomatiche questioni di sicurezza, viene richiesto al cliente di inserire credenziali sensibili come il numero di telefono, la password dell’utenza YAP e il codice OTP che arriva tramite SMS. La truffa è servita e in questo modo il risparmiatore consente inconsapevolmente l’accesso al proprio conto. Una volta entrati nella dashboard del malcapitato, i truffatori svuotano il saldo a proprio vantaggio.

Truffa studiata su misura, nuovo pericolo: cos’è lo spear phishing.

Come difendersi dai tentativi di phishing

Nel tempo i servizi di conti monetari e finanziari digitali hanno costruito un vero e proprio scudo telematico a prova di raggiro o attacco informatico diretto. L’unica via per i truffatori di aggirare questo sistema di difesa è ingannare il cliente. I metodi per riuscirci li abbiamo visti e puntano tutti a un obiettivo comune: ottenere le credenziali di accesso e i dati personali del correntista. La regola d’oro per evitare brutte sorprese è, dunque, una e una soltanto: se ci chiedono dati e password, è una truffa. Anche se le richieste sono accompagnata da loghi, grafiche e messaggi credibili (false mail Agenzia Entrate, come riconoscerle: attenti alla truffa).