Il primo pensiero, quando se ne sente parlare, è che a noi non
capiterà mai. Eppure, con gli smartphone ormai diventati dei veri e
propri terminali bancari, il rischio
c’è. E per perdere i risparmi di una vita possono bastare poche ore. Lo
scrive Stefano Galeotti sul “Fatto Quotidiano”, denunciando lo
svuotamento improvviso dei conti correnti. Parla una delle vittime:
«I soldi sono spariti tramite quattro bonifici, ordinati con causali
fantasiose». E addio denaro: «Abbiamo provato a fare il richiamo delle
operazioni, ma non è stato possibile». Il giorno dopo è scattata la denuncia alla polizia postale. Il verdetto: vittime
di “sim swap”. È una tipologia di frode informatica articolata in vari
passaggi, spiega Marcello La Bella, dirigente della polizia postale
della Sicilia Orientale, che nel 2018 ha compiuto la prima operazione in
Italia contro questo tipo di truffa, con 13 persone arrestate e un
bottino totale di oltre 600.000 euro. «Una volta individuata la vittima
si procede all’acquisizione delle credenziali di home banking tramite
tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la
sim card della vittima e, attraverso lo stesso numero telefonico, si
ottengono dalla banca le credenziali per operare sul conto corrente
online». La pericolosità di questa truffa, aggiunge il “Fatto”, sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: «Il cellulare viene identificato con la sim, e chi ne entra fisicamente in possesso ha un grande vantaggio», rivela Stefano Zanero, docente di elettronica al Politecnico di Milano ed esperto di cyber-sicurezza: « Il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato». I guai cominciano con l’assenza di segnale sul telefono. «Da Tim ci rassicurano, dicono che si tratta di un errore nella configurazione», racconta uno dei derubati: «Consigliano di spegnere e riaccendere il telefono, di farlo più volte». Ma è inutile: ormai quel numero è collegato a una sim che sta nelle mani del truffatore. Agli operatori, le vittime raccontano: «Lo stesso giorno abbiamo ricevuto un messaggio che confermava l’avvenuta disattivazione della sim, da noi però mai richiesta». Nel pomeriggio, la Tim conferma: alle 10 del mattino la sim era stata sospesa per furto e smarrimento e poi, in un altro centro, era stato fatto un duplicato della scheda.
Le ore trascorse, continua il “Fatto”, hanno permesso a chi ha rubato
la sim di utilizzare il numero di telefono per effettuare bonifici,
verosimilmente istantanei, e svuotare completamente il conto. Recuperare
il maltolto, almeno in parte? Su questa materia regna il caos, e la
lentezza della giustizia
italiana non aiuta. «Questa truffa informatica – scrive il quotidiano –
è strettamente legata alla recente entrata in vigore di una direttiva
europea dedicata ai servizi di pagamento digitali, la “Psd2”, Payment
Services Directive 2, che ha reso necessario un doppio fattore di
autenticazione, in aggiunta a username e password dell’internet banking,
legato al contenuto dell’operazione». Per sostituire i vecchi “token”
fisici, quasi tutti gli istituti bancari hanno deciso di puntare
sull’autenticazione tramite un’applicazione su smartphone.
L’introduzione di un passaggio ulteriore ha aumentato il livello di sicurezza complessivo, ma espone a un altro tipo di rischio:
«Chi entra in possesso della sim – dice il professor Zanero – ottiene
l’accesso a tutte le comunicazioni legate ai pagamenti». Ovvero: «Nel
caso di un’operazione sospetta,
come un bonifico molto consistente, la banca manda un sms al cliente
per verificare che tutto sia regolare. Con l’attacco di sim swap,
l’avviso arriva a chi ha rubato la sim. E se l’utente ha già presentato
login e password corretti, il secondo fattore e anche il codice
contenuto nel messaggio di avviso, è difficile dubitare della sua
identità».Insomma, le banche non possono farci granché, se non insistere con gli operatori telefonici per ottenere un cambiamento nelle procedure di duplicazione della sim: «Negli Stati Uniti, dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard», dice ancora Zanero. «Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe». Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing: «Il caso classico è una mail che sembra provenire dalla nostra banca. All’interno, con tecniche di inganno differenti, ci viene chiesto di inserire le nostre credenziali, magari tramite il link a un sito che presenta la stessa interfaccia di quello della nostra banca, ma che in realtà è un falso». Inserendo il codice utente e la password, stiamo regalando le chiavi di accesso del nostro conto online. E questo rende pressoché impossibile indurre la banca a restituire il denaro. Mai aprire quei link, ovviamente. Altro consiglio, aggiornare il sistema operativo dei dispositivi cui cui operiamo: «Molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo».
Nessun commento:
Posta un commento