06.12.2022 - La scorsa settimana l’NCSC ha ricevuto 561 segnalazioni; il numero è nuovamente in calo rispetto al periodo di riferimento precedente. Hanno suscitato particolare interesse le chiamate finalizzate a ottenere informazioni riservate. In alcuni casi i truffatori si sono spacciati per collaboratori di un emittente di carte di credito e hanno cercato di mettere le mani su password monouso.
Phishing telefonico
Ogni giorno l’NCSC riceve dozzine di segnalazioni riguardanti e-mail di phishing. Tuttavia, l’e-mail non è l’unico vettore utilizzato per questo tipo di truffa. Un numero sempre maggiore di tentativi viene effettuato anche tramite SMS e WhatsApp. Come mostrano i casi della settimana precedente, il phishing avviene anche per telefono. Questo modus operandi chiamato «vishing» (combinazione tra «voice» e «phishing») non è però così diffuso come l’attacco per scritto. Il motivo risiede principalmente nel fatto che una telefonata richiede più tempo e gli aggressori devono inoltre essere in grado di rispondere e reagire nella lingua della vittima. Nondimeno, è probabile che il tasso di successo del vishing sia più elevato, dato che in questo modo la pressione esercitata sulla vittima a reagire immediatamente, e quindi spesso in modo avventato, è maggiore rispetto a quella di un’e-mail.
Nel caso in questione gli aggressori si sono spacciati per collaboratori di una società emittente di carte di credito. Le chiamate sono state fatte in francese, ma è stato segnalato anche un caso di truffa in svizzero tedesco. Il numero di telefono visualizzato era falso e suggeriva di appartenere effettivamente al fornitore di servizi finanziari indicato dal truffatore. I numeri di telefoni falsi sono utilizzati in diverse varianti di truffa, ma purtroppo al momento non è possibile né riconoscerli né bloccarli.
Sembra che i truffatori conoscano già i dati della carta di credito della vittima e utilizzino la chiamata per mettere le mani sul codice SMS necessario per la procedura 3-D Secure, tramite la quale ogni acquisto effettuato con carta di credito è protetto ulteriormente. Questo genere di protezione prevede ad esempio l’invio di un SMS che l’acquirente deve confermare.
Per ottenere questi codici, nel corso della chiamata gli aggressori asseriscono di essere riusciti a intercettare tre pagamenti internazionali sospetti. Per annullare queste transazioni, la vittima deve confermare tre codici che le vengono inviati per SMS e li deve leggere ad alta voce a titolo di conferma. Ora che l’aggressore è a conoscenza del codice può effettuare un pagamento fraudolento.
Tuttavia, con questo modus operandi i truffatori possono rubare anche altre password monouso, ad esempio utilizzate per confermare gli acquisti sulle fatture del cellulare. Il «Direct Carrier Billing» permette di addebitare alla fattura telefonica gli acquisti effettuati negli app store. Gli acquisti devono essere confermati con un codice inviato per SMS al numero indicato, ovvero quello della vittima. Se la vittima rivela il codice, il truffatore può confermare il pagamento e l’importo viene addebitato alla fattura telefonica. È molto gettonato l’acquisto di carte regalo di Google-Play e iTunes, che possono poi essere barattate con denaro.
Con la variante in questione i truffatori possono anche impossessarsi dell’account di WhatsApp della vittima, anch’esso protetto da una password monouso. Se un aggressore tenta di registrare il suo account di WhatsApp con il numero di telefono della vittima viene generato un codice di questo tipo e inviato al titolare originario. Se il codice viene divulgato, l’aggressore può impossessarsi dell’account.
Raccomandazioni:
- Non divulgate mai né password né codici che avete ricevuto per SMS, WhatsApp o altri media.
- In generale siate prudenti quando al telefono siete indotti a eseguire un’azione. Dite di essere occupati e concludete immediatamente il colloquio telefonico.
- Non trasmettete mai password o dati della carta di credito, né per telefono né via e-mail né per servizi di messaggistica né su siti Internet.
- Se possibile, impostate sempre un secondo fattore di autenticazione. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga violato.
- Ricordatevi che i numeri di telefono possono essere falsificati facilmente.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 06.12.2022