In quest’ultimo periodo il numero di denunce di addebiti non autorizzati sulle proprie carte di credito è in costante crescita. La truffa in questione usa il metodo del cosiddetto vhishing, ovvero un attacco phishing messo in atto tramite una telefonata.
L’imbroglio è vecchio e in gran parte conosciuto, ma la modalità con cui viene messo in pratica fa dubitare anche i più scettici. La truffa diventa credibile perchè non viene richiesto alcun dato della carta di credito, il criminale cyber li ha già. Questo probabilmente grazie ad una precedente attività di phishing andata a buon fine
Come avviene la truffa
Si riceve una telefonata da parte di un fantomatico operatore della banca o dell’emittente della carta di credito, il quale riferisce al “cliente” di presunte anomalie, con movimenti sospetti di denaro, riscostrate sul suo conto corrente. Il cliente allarmato non ha alcun dubbio a collaborare per attivare le necessarie misure di sicurezza, che si rileveranno essere invece il cavallo di troia che consentirà ai cyber criminali di effettuare dei prelievi dal conto corrente.
Anche perchè non ci sono dubbi, il fantomatico operatore conosce il numero della carta, la data di scadenza e il relativo CVV.
Il finto operatore, estremamente gentile ma allo stesso tempo molto allarmato per la presunta vulnerabilità del vostro conto ad attacchi esterni, vi richiederà di leggere un “codice di conferma” che vi arriverà proprio in quel momento tramite messaggio. In realtà questo codice di conferma non sta proteggendo il vostro conto, ma bensì sta autorizzando il criminale cyber a prelevare una determinata cifra dal vostro conto.
Step 1: acquisire informazioni sensibili
Ma come è possibile che il cyber crime fosse già in possesso dei numeri della vostra carta di credito se questa è ancora nel vostro portafoglio?
I dati, molto probabilmente, potrebbero essere stati rubati nel corso di un precedente attacco di phishing di cui la vittima non si è resa minimamente conto. L’azione di phishing potrebbe avere installato un malware rimasto in silente ascolto in attesa di poter registrare i vostri dati sensibili alla prima occasione.
E’ proprio questo lo stratagemma vincente usato dai criminali: il fatto che voi non abbiate smarrito la carta e che sia al sicuro nel vostro portafoglio, vi rassicura sul fatto che nessun altro potrebbe avere i vostri dati se non la banca stessa o l’emittente della carta di credito.
Come tutelarsi
La polizia postale raccomanda sempre di non rilasciare mai i propri dati bancari tramite telefono, né tanto meno via social o e-mail.
Nel caso in cui doveste ricevere delle telefonate di questo genere, il consiglio è:
- Non fatevi prendere dal panico. Ascoltate attentamente, temporeggiate e cercate di chiudere la telefonata, per poter verificare tramite numero verde della vostra banca o dell’emittente della carta di credito, che l’informazione sia reale.
- Non fornite mai alcun dato personale o bancario, se non siete sicurissimi che si tratti della vostra banca o di un operatore reale.
- E cosa ancora più importante fate estrema attenzione a cliccare su link non verificati o ad aprire allegati…i malware sono silenziosi!
La miglior difesa per non diventare vittime del cyber crime è quella di rimanere sempre aggiornati sulle minacce del web, e acquisire il comportamento corretto per non trasmormarsi in inconsapevoli vittime di attacchi cyber.