La testimonianza

Truffe online: "«Così dal mio conto sono stati sottratti mille e 800 euro...»

Quando l’inganno si unisce alla tecnologia si ha lo «spoofing», una nuova forma di raggiro che vede il malvivente manipolare dati telematici

Truffe online: "«Così dal mio conto sono stati sottratti mille e 800 euro...»
Pubblicato:

di Valentina Brenna 

Sono una giornalista e per lavoro ho raccontato più volte le storie di persone truffate. Questa volta, però, a finire nel mirino dei malviventi sono stata io. L’esperienza maturata mi avrà salvata? Manco per idea, ci sono cascata con tutte le scarpe.

Truffe online: "«Così dal mio conto sono stati sottratti mille e 800 euro...»

All’inizio mi vergognavo di condividere pubblicamente quanto mi è accaduto, perché mi sono sentita stupida. Poi, riflettendoci, ho capito che avrei potuto evitare a qualcuno di finire raggirato come me. E così eccomi qua.
Ammetto fin da subito di avere la mente un pochino annebbiata in questo periodo a causa della mancanza di sonno (ho una bambina di due mesi); detto questo loro - i truffatori - sono stati davvero bravi, non c’è che dire.
E’ successo tutto giovedì scorso. Sono le 13.45 quando sul mio smartphone arriva un messaggio da «Nexi», la società che gestisce la mia carta di credito.

Il messaggio da «Nexi»

«Nexi informa che ha limitato la sua carta/conto per mancata verifica della sicurezza web».
Il numero è esattamente quello dal quale abitualmente giungono le notifiche legate a codici e pagamenti.
Come premesso, avendo ascoltato i racconti di tante persone truffate, un piccolo campanello d’allarme risuona nella mia testa. Allora vado a ritroso, scorrendo la chat avviata lo scorso luglio, mese di attivazione della nuova carta di credito: effettivamente è proprio quella «ufficiale» di «Nexi».

Il messaggio prosegue con un link; clicco e la schermata che mi si apre davanti è quella della società (o, meglio, avrei scoperto dopo, ne è la copia perfetta): sfondo blu, scritta bianca e un form da compilare con il mio nome, numero di telefono, istituto bancario di riferimento e password. Inserisco le prime tre informazioni, per la terza, invece, appaiono automaticamente i tradizionali pallini neri di copertura. A quel punto la procedura si blocca. Istantaneamente arriva un nuovo massaggio sullo smartphone, sempre dal numero «Nexi», che annuncia l’imminente chiamata da parte di un operatore. Passano pochi minuti ed ecco che il telefono squilla.

La chiamata dell’operatore

Sul display leggo il nome della mia banca. Rispondo.
«Buongiorno, chiamo dalla filiale di Milano - mi dicono dall’altra parte del ricevitore - Abbiamo registrato un tentativo di accesso a suo nome, è stata Lei?». «Sì», rispondo io. «Il tentativo non è andato a buon fine. Se ha tempo possiamo completare insieme la pratica telefonicamente, la telefonata è registrata. L’operazione è necessaria per adempiere alla nuova normativa entrata in vigore con l’inizio del 2023».
E da quel momento, il sedicente operatore parte con una manfrina di diversi minuti sulle nuove regole per l’utilizzo dei servizi di pagamento online. Terminata la quale mi chiede il mio codice utente. «Lo trova accedendo all’applicazione della banca».
Allora attivo il vivavoce, accedo all’app, trovo il codice e lo comunico.
«Bene - mi dice - Adesso riprovi a compilare il form e nello spazio riservato alla password inserisca il suo indirizzo di posta elettronica».
Lo faccio.
«Abbiamo finito. Servirà qualche ora per aggiornare l’app della sua banca, quindi non potrà accedervi».
In effetti l’app risulta bloccata. A quel punto fissiamo un secondo appuntamento telefonico alle 13,30 del giorno successivo, venerdì, per verificare che tutto sia tornato in funzione. In contemporanea, sempre dal numero «Nexi», arrivano altri tre messaggi che mi avvisano, in successione, dell’«aggiornamento eseguito con successo», dell’«appuntamento telefonico» di venerdì con «l’operatore 8704» e della certificazione del mio indirizzo di posta elettronica.
Riattacco e il campanello d’allarme suona di nuovo. Allora digito il numero dal quale sono stata appena contattata su Google: è effettivamente della filiale di via della Moscova a Milano. Ottimo, penso, è tutto regolare. Macché...
Intorno all’ora di cena i dubbi continuano ad attanagliarmi. Allora provo una seconda ricerca online: «truffa Nexi» le parole chiave. Aia... Un lungo elenco di notizie che riportano esattamente quanto successo a me.

Il bonifico mai autorizzato

Paonazza, con le mani che tremano, disinstallo l’app della banca e la installo di nuovo. Ora funziona. Accedo ai movimenti e... mi viene un colpo. C’è un bonifico da mille e 800 euro che io non ho mai ordinato. E’ indirizzato alla carta prepagata di una certa Laura Piscardi per il pagamento di una pittura. Verifico tra le mail arrivate se c’è quella che, di norma, l’istituto di credito invia per notificare l’avvenuto bonifico. Non c’è, nemmeno nel cestino che risulta vuoto (una «pulizia» compiuta da altri perché io non la faccio da mesi). Panico. Ormai sono le 19 e la filiale della banca è chiusa. Allora contatto il numero dell’assistenza. L’operatore garantisce che il mio non è il primo caso, anzi. Blocca l’accesso all’applicazione. «Di più non posso fare».

Venerdì, prima dell’apertura della banca sono già fuori dall’ingresso. 8,30, si può entrare. Una delle dipendenti mi accoglie e con sguardo sconsolato ripete che di casi analoghi al mio ne sono stati registrati tanti. Avrò indietro i miei soldi? Dalla banca no perché «è come se avesse dato le chiavi di casa ai ladri», mi gela.
Ho sporto denuncia ai Carabinieri e ho chiesto consulenza ad un avvocato ma le possibilità di recuperare quanto sottratto sono remote. Ad una settimana di distanza, mi sono messa l’anima in pace e mi sono pure perdonata per essermi fatta fregare con tanta facilità. Mettiamola così: con la nascita della mia bambina è come se avessi vinto un milione di euro, che saranno mai mille e 800 euro a confronto...

Consigli utili da mettere in pratica

Dite la verità: quanti di voi hanno modificato la password predefinita del Wi-Fi di casa? Probabilmente in pochi, per pigrizia o praticità, ed è un male perché rende estremamente facile l’ingresso di un intruso nella rete; se va bene per utilizzare gratuitamente la connessione internet, se va male per rubare dati sensibili. E’ una delle piccole accortezze suggerite da Michele Nicastro, ingegnere informatico arcorese. La sicurezza informatica oggi, spiega, è importante tanto quanto quella fisica. Allora come mettiamo l’allarme nei nostri appartamenti quando usciamo, lo stesso dobbiamo fare con i dispositivi elettronici.
Rimanendo in tema di password, «bucarne una semplice, legata ad esempio al nostro nome, è un gioco da ragazzi per i ladri informatici - garantisce Nicastro - E’ importante quindi scegliere una chiave d’accesso composta, con almeno un numero e un carattere speciale».
Estrema attenzione poi ai messaggi di posta elettronica che rimandano a link, perché il pericolo di phishing è dietro l’angolo (ne parliamo nel box al lato).
«Spesso si viene rimandati a siti internet identici a quelli del nostro istituto d credito ad esempio, dove vengono richiesti dati personali o bancari. Ricordiamoci però che per un programmatore, creare una pagina fittizia è estremamente semplice».
Attenzione anche alle telecamere che sempre più spesso vengono installate negli ambienti domestici. L’indebita appropriazione delle immagini registrate non è un rischio così remoto. «Il mio suggerimento è di posizionarle in punti idonei ad intercettare eventuali intrusioni ma non in locali dove la privacy deve essere assolutamente tutelata, come i bagni o le camere da letto».

Il vademecum della Polizia di Stato

Un ulteriore aiuto arriva dal vademecum realizzato da Polizia di Stato, Associazione bancaria italiana e associazioni dei Consumatori (scaricabile dal sito internet www.poliziadistato.it): dodici consigli per mantenere sempre alto il livello d’attenzione sulla protezione dei propri dati personali e ridurre comportamenti rischiosi. Scorrendoli si legge che è «importante imparare a riconoscere i messaggi autentici dai messaggi fraudolenti. Le banche non chiedono mai, né tramite posta elettronica né telefonicamente né con messaggi sms, le credenziali di accesso al conto e i codici delle carte del cliente». Allo stesso modo «non inviano mai e-mail contenenti link se non nell’ambito di un processo avviato dall’utente (es. modifica e-mail personale, aggiornamento documento di riconoscimento)». Qualora si ricevano richieste di questo tipo, «avvisare la propria banca per avere conferma della sua estraneità all’invio ed evitare di dare riscontro alla richiesta ricevuta». Un altro accorgimento riguarda le carte di pagamento dotate di tecnologia «contactless» (ovvero quelle per cui non è richiesto l’inserimento nel POS per effettuare la transazione), da salvaguardare «con custodie schermate (rivestite in alluminio) per ridurre al minimo la possibilità di essere vittime di truffe che prevedano la lettura del chip». Un occhio infine alla documentazione cartacea che contiene informazioni personali (estratti conto, utenze domestiche...): «è opportuno rendere illeggibili i dati sensibili riportati nei documenti prima di cestinarla».

Casi di cybercrime aumentati del 3 per cento

Se c'è un settore che non conosce crisi è senza dubbio quello delle frodi online. Stando all'ultimo report diffuso dalla Polizia postale, nel corso del 2022 sono aumentati del 3 per cento i casi di cybercrime (15.508 l’anno scorso) e del 58 per cento le somme sottratte (114,4 milioni). Ecco alcune delle truffe più comuni.

Phishing: mail ed sms ingannevoli

Come riportato sul sito della Polizia postale, si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce...). Invitano, riferendo problemi di registrazione o di altra natura, a fornire i propri dati riservati di accesso al servizio. Solitamente, per rassicurare falsamente l'utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati, in realtà allestito ad arte identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali. Con la stessa finalità, un pericolo più subdolo arriva dall’utilizzo dei virus informatici.

Sim swapping, la truffa che clona le schede

Letteralmente «scambio di Sim». Alcuni «software malevoli», spiegano da Altroconsumo, si possono introdurre nello smartphone per clonarne la Sim. Dopo aver carpito il codice ICCID, il numero seriale che identifica in maniera univoca una scheda, è possibile per i malintenzionati ottenere un duplicato della Sim rivolgendosi direttamente all'operatore telefonico: a questo punto è possibile ricevere chiamate e sms al posto del legittimo proprietario, oltre che accedere al mobile banking.

Sproofing: il «furto» del numero

Lo spoofing dell'ID chiamante è una forma di frode telefonica in cui qualcuno maschera l'ID (identificatore dello smartphone) in modo che sembri provenire da un numero diverso. Questo può avvenire utilizzando un servizio online o modificando manualmente le impostazioni del telefono. È possibile modificare l'ID chiamante in modo da far apparire la chiamata come locale, magari proveniente da un vicino di casa, oppure proveniente da un'altra persona o azienda.
Purtroppo è possibile farlo anche abbastanza facilmente, tramite numerosi servizi online VoIP (Voice over Internet Protocol) o telefoni fissi IP basati su VoIP. In particolare, per gli hacker risulta ancora più semplice fare spoofing in ambiente mobile. Infatti, numerose sono le app (basta fare una ricerca sugli store) con servizi capaci di trasmettere chiamate con numeri e nomi impostati ad hoc.

Leggi anche
Finti tecnici dell'acqua in azione a Carate Brianza
Attenzione

Finti tecnici dell'acqua in azione a Carate Brianza

L'Arma di Monza e Brianza fa il bilancio del 2022: raddoppiati gli arresti e triplicati i sequestri di droga
I dati

L'Arma di Monza e Brianza fa il bilancio del 2022: raddoppiati gli arresti e triplicati i sequestri di droga

Seguici sui nostri canali
Necrologie
  • Autorizzazione tribunale Iscrizione nr.14/2021 del 29/04/2021 Tribunale di Monza
  • ROC 15381
  • Direttore responsabile Sergio Nicastro
  • Gestione editoriale Media(iN) Srl
Contatti
  • Email redazione@primamonza.it
Pubblicità
  • Concessionaria Publi(iN) Srl
  • Email publiin@netweek.it
  • Telefono 03999891
Info e note legali
© Copyright 2024 Media(iN) Srl
Tutti i diritti riservati.
Servizi informatici provveduti da Dmedia Group SpA Soc. Unipersonale Via Campi, 29/L 23807 Merate (LC) C.F. e P.IVA 13428550159 Società del Gruppo Netweek S.p.A. C.F. 12925460151