Dalla mail "specchio" alla finta telefonata, sgominata banda specializzata in “phishing” online

Quattro truffatori specializzati in “phishing” sono stati denunciati dalla polizia Postale ligure e da quella campana dopo una lunga indagine finalizzata proprio a sgominare un gruppo criminale esperto di truffe informatiche. 

Gli investigatori del Compartimento Polizia Postale e delle Comunicazioni per la Liguria hanno effettuato una serie di perquisizioni che hanno portato alla luce moltissimi materiale informatico fondamentale per ricostruire l’attività dei truffatori: la cellula criminale effettuava frodi ai correntisti di tutti gli istituti bancari operanti in Italia, sottraendo cifre da un minimo di 300 fino a 55000 euro. Come se il danno economico non bastasse, i truffatori prendevano poi in giro le vittime, apostrofandoli con frasi come «Ti abbiamo fregato» o «Sei stato un ciambellone».

Phishing, cos’è e come funziona

Quando si parla di “phishing”, si parla di una truffa informatica effettuata inviando un'e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando la richiesta con generiche ragioni di ordine tecnico. Una volta ottenuti i dati personali, i truffatori riescono a sottrarre dai conti il denaro.

Il gruppo neutralizzato dalla Postale di Genova e dai colleghi campani sfrutta la tecnica dello “Smishing-Vishing”: le vittime ricevevano comunicazioni via mail o sms (smishing) che all’apparenza sembravano provenire dalla loro banca, in cui erano invitate ad accedere al conto online con un link. Una volta cliccato sul link, si apriva una pagina creata ad hoc in cui inserire le credenziali personali, che venivano sottratte. L’alternativa era il contatto telefonico (vishing), una telefonata alla potenziale vittima in cui il finto operatore di banca, con vari giri di parole, la convinceva a fornire i codici dei dispositivi del proprio rapporto finanziario. In queste telefonate è frequente che il truffatore prospetti alla vittima la necessità di ottenere il suo codice per bloccare alcuni tentativi illeciti di prelievo: «Qualcuno ha usato la sua carta a sua insaputa». Facendo leva su questo, i truffatori otteneva le credenziali di accesso ai conti correnti che avrebbero poi svuotato.

Le chiamate sembrano arrivare proprio dalla propria banca, ed è per questo che l’indagine è stata ribattezzata “Alias”: si tratta di frodi che sopratutto nel periodo di pandemia, complici le limitazioni di accesso alle filiali e l’aumento di contatti via mail o telefono, sono molto aumentate. La stima della Polizia Postale e delle Comunicazioni, che sta lottando contro questa tipologia di truffa attraverso le periferiche Sezioni Financial Cyber Crime, è un giro d’affari da milioni di euro.

Phishing, come difendersi 

La prima cosa da sapere è che i numeri verdi sono, per natura, numeri che funzionano solo in ricezione, e non vengono usati per effettuare chiamate in uscita. La banca, dunque, mai contatterà i propri clienti attraverso un numero verde.

Anche i numeri territoriali assegnati alla banca possono essere dissimulati, quindi nel dubbio è meglio concludere la chiamata e telefonare direttamente alla propria filiale. Inoltre è bene ricordare che nessuna banca richiede i dati di accesso al proprio conto via email o via sms.

In caso di ricezione, meglio non rispondere mai né a mail né a sms, soprattutto quelli che chiedono di verificare i propri dati personali. Mai cliccare sui link forniti, e mai dare le informazioni richieste. 

Cosa fare in caso di tentativo di phishing

- Non “cliccare” sui link inviati tramite e-mail o sms sospetti.

- Verificare sempre l’autenticità della pagina dell’istituto bancario.

- Non fornire alcuna credenziali di accesso/codice otp via telefono o sms.

- Effettuare la scansione del dispositivo con un antivirus aggiornato.

- Modificare le credenziali di accesso ai servizi on-line in caso di accessi sospetti.

Nel caso in cui si sia caduti nella trappola fornendo i propri dati, contattare immediatamente il numero verde della propria banca e bloccare l’accesso al conto ed eventuali pagamenti fraudolenti già effettuati. In autonomia si può procedere immediatamente al cambio della password per accedere al conto.

Nel caso in cui si siano forniti codici dispositivi necessari per utilizzare l’applicazione della banca installata sul proprio telefono, riutilizzare immediatamente l’applicazione: in questo modo verrà inibita la possibilità al truffatore di utilizzarla