Mail e SMS Svuotaconto truffaldini: attenti al Phishing

di Shadow Ranger |

Mail e SMS Svuotaconto truffaldini: attenti al Phishing Bufale.net

La Polizia Postale ci segnala una nuova e recente ondata di Mail e SMS Svuotaconto.

Nuova perché è in fondo sempre la stessa storia, ovvero un caso di Phishing.

Ricordiamo ogni volta come le Mail e SMS Svuotaconto truffaldini siano il tipo di truffa più antico, versione digitale di un sistema collaudato.

In situazioni a “bassa tecnologia” può capitare che un sedicente avvocato o carabiniere contatti un anziano millantando di aver bisogno di soldi per salvare un suo nipote dalle conseguenze di un incidente stradale.

E che la truffa riesca proprio perché l’istintiva fiducia dell’anziano nella “Divisa”, il timore reverenziale che essa incute e l’amore per i suoi nipoti lo rende cieco.

In situazioni ad “alta tecnologia” spesso diventiamo noi gli “anziani raggirabili”, in quanto la distanza posta tra noi e la Rete attutisce i nostri ordinari sensi di allarme.

Mail e SMS Svuotaconto truffaldini: la mail

Della mail ha parlato direttamente la Polizia di Stato nei suoi account social:

Sostanzialmente la struttura è quella che abbiamo visto milioni di volte. Lo scammer (da “scam”, truffa, più “spam”, email moleste inviate in multipla copia) ha acquistato da uno dei molteplici elenchi già formattati (quindi organizzati, compilati in modo leggibile da programmi automatici e scaricabili) di email reperibili sul “Deep Web” con facilità gli indirizzi di una serie di persone.

Si è poi munito degli indirizzi delle banche. Con una semplice tecnica chiamata spoofing può istruire il suo programma di posta nell’inserire come mittente non quello reale, ma quello di una banca.

Manda così alle sue potenziali vittime una mail nella quale millanta di essere un funzionario di Banca che, in collaborazione con la Polizia Postale stessa, chiede alle stesse di cliccare su un link per cambiare nome utente e password.

Per quanto cambiare le password del proprio account sia un atto consigliato (e su questo conta il truffatore), e per quanto la Polizia Postale sia indubbiamente degna della nostra stima, questa volta è esattamente quello che non dovrete fare.

Il link al “Nuovo sistema per migliorare la protezione e la sicurezza” è un “front-end”, un sito tarocco il cui unico scopo è raccogliere nome utente, password, email e dati di conto corrente del malcapitato e consegnarli al truffatore.

A quel punto il truffatore avrà accesso pieno ed illimitato al conto corrente e home banking.

La nomea di “Mail e SMS Svuotaconto truffaldini” non è peregrina: per cominciare il truffatore potrà svuotare il conto corrente del malcapitato, o servirsene per acquisti online di beni che rivenderà, o come dato da usare per altre truffe.

E questo è solo l’inizio: il Truffatore ha potuto confermare la vostra mail e password, e controllerà immediatamente se il malcapitato è tra coloro che usano la stessa password per ogni servizio, mail compresa.

Se così fosse, in breve tempo tutti servizi online del malcapitato passerebbero in mano al truffatore.

Mail e SMS Svuotaconto truffaldini: l’SMS

Una variante, molto diffusa in Canada ad esempio ma arrivata anche da noi è l’SMS truffaldino.

In questo caso il messaggio arriva mediante SMS, con l’invito a confermare il numero di ricezione cliccando su un link.

Facendolo si riceverà la chiamata di un soggetto terzo, che con insistente petulanza racconterà una storia a base di conti bloccati e violazioni.

Solitamente il truffatore addurrà di essere un impiegato dei “servizi antifrode” e di aver visto attività sospette e bonifici non richiesti da annullare.

Sotto la minaccia di bloccare il conto corrente del malcapitato ed adire azioni legali nei suoi confronti, il truffatore chiederà di effettuare una serie di operazioni e trasmettere dei codici per annullare i presunti bonifici.

Eseguendo tutte le istruzioni correttamente il malcapitato si ritroverà a fare un bonifico (questa volta reale) ad un conto estero, per una ingente somma di danaro.

Il truffatore, esaurito il suo scopo, chiuderà la telefonata.

E non esiste neppure un numero dove rintracciarlo: solitamente usa un’utenza VoIP, usa e getta.

Come posso tutelarmi?

Sostanzialmente in molti casi l’email e l’SMS saranno sgrammaticati e scorretti, e tradiranno una scarsa dimestichezza con la lingua italiana da parte del truffatore.

Spesso infatti i truffatori lavorano dall’estero con vittime di più stati, e l’Italiano non è la loro lingua madre. Anche quando non dovesse essere così, il truffatore solitamente chiederà con biasimevole e ossessiva petulanza dati che dovrebbero già essere in possesso della Banca stessa, come nome, cognome, numero di conto e numero di PIN dello sfortunato utente.

Allo scopo di creare uno “microshock” emotivo, quindi spingere l’utente ad abbassare la guardia, il truffatore cercherà di suscitare un senso di urgenza che un vero intermediario bancario non darebbe.

Ad esempio un truffatore che telefona il sabato non dirà mai di attendere il lunedì per andare in filiale a parlare con un operatore (cosa che svelerebbe il suo gioco), ma cercherebbe di convincere il malcapitato a consegnargli immediatamente tutti i dati di cui ha bisogno, millantando le conseguenze più gravi in caso di inottemperanza.

Oppure una mail conterrà una scadenza per l’obbligo insolitamente corta, annunciando ad esempio il blocco dell’utenza bancaria entro 24/48 ore dalla ricezione senza possibilità di appello.

Infine, ma questo è visibile specialmente usando un computer e non uno smartphone, lasciando il puntatore del mouse sul presunto link al sito della banca, si visualizzerà un sito con un’url, un indirizzo, insolitamente lungo e distorto.

Non crediate di essere però al sicuro: in simili truffe ci sono cascati anche i migliori.

E se io ci fossi cascato?

Abbiamo una guida utile anche per questo.

Seguendo le istruzioni che vi abbiamo fornito nel precedente link, dovrete bloccare tutto. Bloccare la carta, bloccare il conto, contattando la banca il prima possibile. Cambiare subito tutte le password degli account dati al truffatore: quella dell’home banking, quella della casella di posta dove avete ricevuto comunicazioni, quella di tutti gli account con la stessa password.

Ovviamente, se la truffa è avvenuta il sabato sera, sarà difficile trovare la banca aperta: ma la contatterete il prima possibile, e sporgerete denuncia alle autorità competenti.

Così facendo potreste quantomeno limitare i danni e rientrare nel possesso e nella disponibilità del vostro denaro.

Quanto alla sanzione del truffatore, come vi abbiamo detto parliamo di truffatori che spesso agiscono da posti al di fuori di molte giurisdizioni.

Non è facile sanzionarli, ma è possibile spezzare la loro catena di imbroglio.

Foto di mohamed Hassan da Pixabay

Se il nostro servizio ti piace sostienici su PATREON o con una donazione PAYPAL.

Latest News