Avere il conto corrente prosciugato in pochi minuti non è un incubo lontano, ma una realtà concreta alimentata da tecniche di ingegneria sociale sempre più raffinate. I criminali informatici sfruttano la nostra fiducia e la nostra distrazione per accedere ai risparmi di una vita, spesso partendo da un semplice messaggio o da una strana telefonata. La chiave per difendersi è riconoscere le loro strategie prima che sia troppo tardi, poiché la perdita del segnale telefonico potrebbe essere l’ultimo avvertimento.
Le frodi bancarie online sono in costante aumento e colpiscono migliaia di italiani ogni anno. Secondo i dati più recenti, nel solo primo semestre del 2024 il valore delle truffe sui bonifici ha superato i 50 milioni di euro, con un incremento del 67% rispetto all’anno precedente. Questo dimostra come i cybercriminali stiano affinando le loro armi, rendendo fondamentale per ogni correntista conoscere il nemico che sta combattendo.
Cos’è e come funziona il phishing?
Il phishing è la tecnica base dalla quale nascono molte delle frodi più complesse. Si tratta di un tentativo di inganno tramite email, che sembrano provenire da fonti autorevoli come la propria banca, un corriere o un’istituzione pubblica. Il messaggio, solitamente allarmistico, invita la vittima a cliccare su un link per risolvere un presunto problema di sicurezza o per aggiornare i propri dati.
- Chiamata da numero inesistente: cos’è lo spoofing e come bloccare
- L’Allarme Silenzioso: Come Smascherare e Bloccare le Truffe con Voce Clonata
- Conti svuotati con un SMS: non cliccare quel link!
Il link, però, non conduce al sito ufficiale, ma a una sua copia identica, una “pagina clone”. Una volta qui, l’utente, convinto di essere nel posto giusto, inserisce le proprie credenziali di accesso all’home banking: nome utente, password e, talvolta, anche codici di sicurezza. A questo punto, i truffatori hanno la porta d’accesso al conto.
Come si evolve l’attacco con lo smishing?
Lo smishing non è altro che la variante del phishing che viaggia tramite SMS (da qui il nome, SMS + phishing). Il meccanismo è identico: un messaggio sul cellulare avvisa di un accesso anomalo, di un pagamento sospetto bloccato o della necessità di convalidare il proprio numero di telefono.
Spesso questi SMS contengono link abbreviati che mascherano il vero indirizzo di destinazione. La fretta e la preoccupazione giocano a favore dei criminali. Un esempio tipico è il messaggio che recita: “Gentile cliente, è stato rilevato un accesso anomalo al suo conto da un nuovo dispositivo. Se non è stato lei, clicchi qui per bloccarlo: [link malevolo]“.
Perché una telefonata successiva è così pericolosa (vishing)?
Qui l’attacco si fa più personale e convincente. Dopo aver ottenuto le prime credenziali tramite phishing o smishing, i truffatori passano al “vishing” (voice phishing). Contattano telefonicamente la vittima, spacciandosi per operatori della banca. Grazie ai dati già raccolti, appaiono estremamente credibili: conoscono il nome, il cognome e a volte persino il numero di conto.
Con un tono professionale e rassicurante, spiegano che c’è un tentativo di frode in atto e che, per bloccarlo, hanno bisogno della collaborazione della vittima. La richiesta finale è quasi sempre la stessa: autorizzare un’operazione “di storno” o fornire i codici di sicurezza ricevuti via SMS. In realtà, questi codici servono ai truffatori per autorizzare bonifici istantanei che svuoteranno il conto.
Cos’è la frode SIM swap e perché è la più temuta?
La frode SIM swap è il colpo da maestro dei cybercriminali e spesso il segnale premonitore è proprio un’inspiegabile assenza di campo sul proprio cellulare. In questo tipo di attacco, il criminale, dopo aver raccolto informazioni personali sulla vittima (codice fiscale, data di nascita, documenti), si reca presso un negozio di telefonia e, con una scusa plausibile come il furto o il malfunzionamento, chiede di ottenere una nuova SIM con lo stesso numero.
Una volta ottenuta la nuova SIM, quella della vittima viene disattivata. Se il tuo telefono smette improvvisamente di avere segnale di rete, potrebbe essere il primo campanello d’allarme. Da quel momento, il truffatore riceverà tutti gli SMS e le chiamate dirette a quel numero, inclusi i codici di autenticazione a due fattori (2FA) inviati dalle banche. Avendo già le credenziali di accesso (ottenute con phishing), potrà operare liberamente sul conto, autorizzando qualsiasi operazione.
Come puoi proteggere il tuo conto corrente oggi stesso?
La difesa passa da poche ma fondamentali regole di comportamento, come sottolineato anche dalla Polizia Postale.
- Nessuna fretta: I messaggi che mettono urgenza sono quasi sempre una trappola. Le banche non chiedono mai di inserire dati sensibili tramite link inviati via email o SMS.
- Controlla il mittente: Verifica sempre l’indirizzo email completo o il numero da cui arriva l’SMS. Spesso contengono piccole imperfezioni che li smascherano.
- Digita l’indirizzo a mano: Non cliccare mai sui link. Se hai un dubbio, apri una nuova pagina del browser e digita tu stesso l’indirizzo del sito della tua banca.
- Usa l’app ufficiale: Per le operazioni bancarie, privilegia sempre l’app ufficiale della tua banca, che offre standard di sicurezza più elevati.
- Attiva le notifiche push: Imposta le notifiche via app per ogni operazione. È un sistema più sicuro rispetto agli SMS, che possono essere intercettati con il SIM swap.
- Attenzione al segnale: Se il tuo cellulare perde la linea senza motivo apparente, contatta subito il tuo operatore telefonico per verificare che la tua SIM sia ancora attiva.
La consapevolezza è la prima e più potente forma di difesa. Conoscere queste tecniche permette di trasformare la paura in prudenza, proteggendo efficacemente i propri risparmi.
FAQ – Domande Frequenti
Cosa faccio se ho cliccato su un link di phishing? Se hai solo cliccato sul link ma non hai inserito dati, il rischio è minore. Esegui comunque una scansione antivirus sul dispositivo. Se invece hai inserito le credenziali, contatta immediatamente la tua banca per bloccare il conto e le carte. Modifica subito la password di accesso all’home banking e a tutti i servizi che usano la stessa password.
La banca può rimborsarmi in caso di truffa? Il rimborso dipende dalle circostanze. Se la banca accerta una tua “colpa grave” (ad esempio, se hai comunicato volontariamente i codici a terzi), potrebbe negare il rimborso. È fondamentale denunciare immediatamente l’accaduto alla Polizia Postale e alla banca per avviare le pratiche e massimizzare le possibilità di recupero delle somme.
Come fanno i truffatori a trovare i miei dati personali? I criminali raccolgono informazioni da più fonti. Possono sfruttare fughe di dati (data breach) da siti web su cui sei registrato, acquistare database sul dark web o semplicemente analizzare i tuoi profili social, dove spesso condividiamo involontariamente informazioni preziose come data di nascita, città o altri dettagli utili per l’ingegneria sociale.
Curiosa per natura e appassionata di tutto ciò che è nuovo, Angela Gemito naviga tra le ultime notizie, le tendenze tecnologiche e le curiosità più affascinanti per offrirtele su questo sito. Preparati a scoprire il mondo con occhi nuovi, un articolo alla volta!
