Firenze, 11 aprile 2024 – Due ragazzi di 23 anni sono stati denunciati per truffa dalla polizia. I due giovani hanno messo in atto due distinti raggiri online: vittime un uomo e una donna residenti in provincia di Firenze.
Solo grazie alla tempestività dell’intervento la polizia postale è riuscita a effettuare il sequestro preventivo delle somme frodate alle due vittime, per un totale di quasi 80mila euro.
Di tratta di Smishing, vishing, avanzate tecniche di “ingegneria sociale”, strumenti ormai di uso comune da parte dei malviventi, che -spiega la Postale – “combinando i diversi sistemi di intrusione nell’ordinaria quotidianità delle vittime, riescono a carpirne la buona fede, inducendole in errore, mettendo fretta, creando ansia e pressione psicologica, col prospettare loro l’urgenza di intervenire subito, per non precisati problemi di sicurezza del proprio conto corrente”.
"La vittima – continua la Postale – viene, quindi, indotta a fornire informazioni personali, dati sensibili e codici di accesso o a cliccare su link fraudolenti, con un esito purtroppo inevitabile: il proprio denaro viene rapidamente sottratto ed inviato su conti di complici e prestanome, spesso all’estero, fino a diventare impossibile da rintracciare”.
Nel primo caso di cui si è occupata la Polizia postale di Firenze, un anziano ha ricevuto un sms, che lo avvisava della necessità di bloccare un movimento sospetto in uscita, indicando persino l’importo dell’ipotetica transazione. L’sms conteneva il link a una falsa pagina di autenticazione, in cui gli veniva chiesto di inserire i dati di accesso al suo home banking. Si tratta di una tecnica ormai consolidata: i malfattori sono, così, in grado di “leggere” i dati di autenticazione, usandoli subito per accedere al vero conto della vittima, effettuando bonifici o altre operazioni, in questo caso oltre 29mila euro.
Nel caso della donna, invece, è la telefonata di un falso operatore ad informarla di alcuni tentativi di hackeraggio del suo conto bancario, dicendole di cliccare sul link che le sarebbe stato inviato: l’epilogo è inevitabilmente lo stesso, sono spariti in pochi istanti ben 50mila. Per fortuna, in questo caso gli investigatori del Centro Operativo per la Sicurezza Cibernetica della Polizia postale per la Toscana sono stati in grado di individuare i due intestatari dei conti correnti beneficiari dei bonifici fraudolentemente effettuati, “congelando” l’importo al fine di impedire che il denaro potesse essere prelevato o inviato “a cascata” su altri conti.
Il sistema di raggiro delle vittime, che mira all’acquisizione illecita di codici dispositivi e dati riservati, si sviluppa, quindi, inizialmente mediante l’invio di falsi sms, da parte di utenze telefoniche identiche a quelle di noti istituti di credito (spesso proprio quelle della banca di cui si è clienti) o di fornitori di servizi. Poiché spesso il numero utilizzato è già memorizzato all’interno del dispositivo della vittima, i messaggi in questione non vengono riconosciuti dal software dello smartphone e quindi vengono automaticamente collocati in coda ad altri messaggi autentici in precedenza ricevuti. Può accadere anche che come mittente del messaggio non compaia un numero, ma la denominazione di un istituto di credito.
Tali espedienti inducono le ignare vittime, convinte della veridicità delle richieste, a fornire i dati di accesso e di autenticazione dell’home banking o altri codici e dati riservati, cliccando sul link malevolo che, in realtà, rimanderà allo spazio web utilizzato dal phisher. In questo modo, il phisher sarà in grado di accedere rapidamente al conto della vittima e di effettuare operazioni dispositive in proprio favore. In molti casi, i malviventi sono addirittura in grado di simulare un malfunzionamento della pagina, che non permette la prosecuzione della procedura di accesso ai servizi di home banking, avvisando l’utente che sarà a breve contattato da un operatore per la risoluzione dei problemi.
Effettivamente, dopo pochi minuti, la vittima riceve una chiamata in apparenza proveniente dal “numero verde” in uso alla banca, nel corso della quale il falso operatore, prospettando presunte criticità tecniche o l’urgenza di bloccare movimenti sospetti in uscita ad esclusiva tutela del “cliente”, riesce a farsi consegnare le “chiavi” di accesso al conto o i cosiddetti codici Otp, dispositivi delle operazioni, utilizzandoli per scopi fraudolenti, quali bonifici e pagamenti