Attenzione al vostro telefono, perché con i nuovi sistemi di accesso ai conti correnti e all’home banking potreste essere “infettati” da virus manipolati da abili truffatori. Per quanto dall’Associazione bancaria italiana arrivino rassicurazioni, i casi di truffa da smartphone collegata ai conti bancari si moltiplicano.
Le nuove procedure di sicurezza per accedere ai conti correnti tramite web, con il secondo fattore di autenticazione tramite l’applicazione sullo smartphone al posto del token fisico, non aumenterebbero i rischi per i clienti, sostiene l’Associazione bancaria italiana.
Tuttavia, ammettono anche le banche, i clienti devono stare più attenti a non cadere nelle trappole del phishing con cui i truffatori riescono a rubarci dati personali o comunque sensibili. Occhio non solo a WhatsApp, dunque.
Indice
SIM swap, cos’è
Proprio in queste settimane una nuova truffa corre online: la SIM swap fraud. Semplicemente sostituendo la sim card dei poveri malcapitati, e con pochi semplici passaggi, si riesce a “bucare” il secondo fattore di autenticazione per accedere al conto online. E svuotarlo. Gioco veloce, e lineare.
L’ultima truffa informatica è strettamente legata alla recente entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la “Psd2”, Payment Services Directive 2, che ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking. Per sostituire i vecchi token fisici, quasi tutte le banche hanno deciso di inserire l’autenticazione tramite un’applicazione su smartphone. L’introduzione di un passaggio ulteriore ha sì aumentato il livello di sicurezza complessivo, ma espone a un altro tipo di rischio.
Come funziona la truffa SIM swap?
Ma come funziona la frode SIM swap? Una volta individuata la vittima, basta qualche tecnica di hacking per acquisire le credenziali di home banking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima, e attraverso lo stesso numero telefonico si ottengono dalla banca le credenziali per operare sul conto corrente online.
“Il cellulare viene identificato con la sim e chi ne entra fisicamente in possesso ha un grande vantaggio” ha spiegato Marcello La Bella, dirigente del compartimento di Polizia Postale della Sicilia Orientale che ha compiuto la prima operazione contro questa frode già nel 2018.
“Il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato”.
Il caso
Inutile dire che vedersi bruciare i risparmi di una vita è questione di secondi. Esattamente ciò che è accaduto a un uomo di 40 anni che ha raccontato la sua storia al fattoquotidiano.it. Gli hanno rubato 50mila euro, in un attimo. I soldi sono spariti dal conto corrente tramite quattro bonifici, ordinati con causali decisamente sopra le righe, come una “manodopera per orlo pantaloni” da oltre 13mila euro.
“Quei 50mila euro li avevamo appena ricavati dalla vendita della nostra attività: ora siamo disoccupati e dobbiamo chiedere prestiti per pagare gli avvocati”, racconta.
Prima un’assenza di segnale sullo smartphone, e la rassicurazione da Tim che si tratta di un errore nella configurazione, ma così non è. Poi la ricezione di un messaggio che conferma l’avvenuta disattivazione della sim, che nessuno ha mai richiesto.
Poi ancora la conferma che la sim era stata sospesa per furto e smarrimento e poi, in un altro centro Tim, era stato fatto un duplicato della scheda. Chi ha rubato la sim ha avuto tutto il tempo di utilizzare il numero di telefono per effettuare bonifici, e svuotare il conto.
Come difendersi
Per difendervi vi consigliamo di utilizzare sempre strumenti per la conferma dell’identità che facciano uso di dati biometrici. Inoltre, meglio i token fisici che le app che generano password usa e getta o sitemi di invio tramite SMS. Tutte le volte in cui è possibile, richiedete chiavi di sicurezza hardware.
Occhio anche ai social network: in generale, dobbiamo usarli con attenzione, senza veicolare i nostri dati, anche involontariamente. Se poi evitassimo di salvare i nostri dati sui vari Dropbox, Google Drive, OneDrive, iCloud, ecc. saremmo sicuramente più al riparo dagli hacker.