Non c'è ormai cliente bancario che non abbia la app del proprio istituto di credito scaricata sul cellulare, pc o tablet. Una grande comodità, non c'è che dire, che ci consente di eseguire bonifici, pagare utenze, monitorare il proprio conto o fare addirittura operazioni di borsa in tempo reale. Ma un uso troppo disinvolto dei device e delle loro funzioni comporta dei rischi che già conosciamo: la violazione dei nostri dati e l'accesso con fini fraudolenti di estranei al nostro conto che potrebbe venire azzerato in poco tempo. Un'esperienza talvolta drammatica. Ecco dunque quali sono le tecniche più utilizzate di "infiltrazione" nei disposiitvi da parte di hacker e malintenzionati per frodare i clienti bancari, come da comunicazioni di un grande istituto finanziario

Iban swap

  1. L'utente riceve via mail un messaggio con scritto in messaggio di quest tipo "Urgente, fattura da pagare"
  2. Il file excel contenuto nella e-mail è il cavallo  di troia per entrare nell'area riservata del cliente, contiene un malware.
  3. L'utente aprie il file che contiene delle informazioni irreperibili e pensa che si tratti di un errore.
  4. Nel frattempo il malware si installa all'interno del broswer dell'utente.
  5. L'utente apre il broswer per eseguire dei bonifici e inserisce i suoi codici per accedere all'area riservata.
  6. Una volta autenticato nell'area riservata compila tutti i dati ed inserisce i codici per eseguire e autorizzare un bonifico.
  7. L'operazione risulta andata a buon fine.
  8. In verità, il malware che monitorava le attività del cliente ha modificato l'iban di destinazione senza che l'utente se ne accorga

Suggerimenti

Questa tecnica altamente sofisticata permette dunque, una volta che l'utente è autenticato nella sua area risevata e non teme "intrusioni", di modificare e sostituire attraverso il malware i dati del beneficiario del profilo. Mai aprire mail contenenti mesaggi e file sospetti e aggiornare i sistemi antivirus e antimalware.

Vishing

  1. Sul cellulare arriva una chiamata. Il numero visualizzato è quello del call center della banca dell'utente.
  2. Non si tratta però del call center ma di un "hacker" collegato al sito della banca per inserire i codici
  3. Il finto operatore dice al cliente che il suo conto corrente è vittima di un attacco fraudolento. Per bloccare le operazioni servono i codici.
  4. Il falso operatore chiede al cliente di verificare insieme i codici di accesso al concto corrente online e di comunicare i vari codici che appaiono sul dispositivo.
  5. L'operatore conferma al cliente che il tentativo di attacco al conto corrente è stato bloccato. In verità, il cliente non può più accedere al sito della banca
  6. Nel frattempo, il finto operatore può gestire l'intera operatività del conto corrente online  e attivare un nuovo dispositivo con i codici personali recepiti

Suggerimenti

Con il vishing il furto dei codici di autenticazione avviene attraverso una chiamata telefonica. Il numero del chiamante è mascherato da quello della banca (per es numero verde) grazie a tecniche di spoofing.  Alla vittima viene sempre richiesto di comunicare il codice Otp o altri codici di autenticazione: i call center non bancari non richiedono i codici personali.

Phishing/Smishing

  1. Nella casella mail o negli sms compare l'alert: "Conto corrente bloccato"
  2. Lo stesso messaggio invita a compilare un form raggiungibile mediante link
  3. L'utente clicca sul link e viene rimandato a un sito fake
  4. L'utente inserisce le credenziali e i codici richiesti nella pagina web
  5. Compare il messaggio rassicurante: aggiornamento riuscito e conto sbloccato
  6. Nel frattempo tutte le credenziali sono affluite in un database ad uso dei frodatori
  7. I frodatori dispongono ora di informazioni con cui possono effettuare l'accesso fraudolento al conto online

Suggerimenti

Il furto delle credenziali avviene tramite invio di e-mail (phishing) o sms (smishing) invitando i clienti ad inserire i propri dati di login tramite link che conduce a sito malevolo. L'indirizzo mail del mittente e il numero di telefono sono ugual a quelli della banca grazie a tecniche di spoofing. Nel caso di sms, il messaggio compare anche nella cronologia dei messaggi della banca. Il sito di atterraggio è molto simile a quello della banca. Il consiglio è il solito: non fornire codici personali.

In termini generali, ricordiamo che nessun call center di istituti finanziari e bancari chiede telefonicamente o via mail i codici e le credenziali personali di accesso ai conti online. Esistono, in caso di smarrimento delle stesse, dei sistemi automatici di recupero. In caso di operazioni sospette o fraudolente, bisogna contattare il call center della propria banca ed eventualmente procedere al blocco delle carte e/o disconoscere le operazioni fraudolente per riottenere le somme sottratte indebitamente. Per questo è bene controllare spesso i movimenti del proprio conto. In caso di frodi, bisogna sporgere denuncia all'autorità competente. Si raccomanda ovviamente prudenza nell'apertura delle mail delle quali non si conosce il mittente. Se si pensa di aver aperto un link malevolo o risposto a una chiamata sospetta, è suggeribile contattare i servizi clienti della banca