L’ultima truffa è l’incubo delle banche. Ora il ladro chiama dal numero verde

Ogni mese sono più di 1.000 le denunce per «vishing». I finti operatori riescono a ingannare gli smartphone chiamando e inviando sms a nome del servizio clienti. Già rubati 20,2 milioni nel 2020 simulando attacchi.Non è una truffa per vecchi. Capita ogni giorno a persone di tutte le età (estrazione sociale e competenza informatica) di abboccare come pesci - è proprio il caso di dirlo - alle nuove e sempre più sofisticate tecniche di phishing (neologismo nerd che deriva da fishing, pesca, ma con il ph usato dai programmatori). Di cosa si tratta? Dell'imbroglio più vecchio del Web: i mariuoli informatici piazzano le loro reti virtuali, raccolgono con l'inganno i dati personali degli utenti malcapitati e poi li usano per derubarli.Le prime esche erano le mail (il phishing vero e proprio) con i loghi contraffatti e i link malevoli per portare le vittime su siti fasulli, ma molto simili a quelli degli istituti bancari. Poi sono arrivati gli sms (smishing) e le chiamate dei finti operatori (il voice phishing, che i nerd di cui sopra abbreviano in vishing). Fin qui niente di straordinario, chiunque almeno una volta nella vita ha ricevuto una mail piena di errori ortografici con richieste di aiuto bizzarre, un sms trappola o una chiamata da un presunto call center che chiede i dati della bolletta o lamenta fatture non pagate. Il problema è che lo «spettacolo d'arte varia» di queste vere e proprie organizzazioni criminali (che preferiscono migliaia di colpi da centinaia di euro alla rapina del secolo) ha un nuovo numero in scaletta, che può essere letale. Si chiama swap alias o spoofing (da spoof, parodia): per farla breve, la falsificazione dell'identità che permette ai delinquenti di ingannare anche gli smartphone di ultima generazione e di chiamare o inviare messaggi - apparentemente - dai numeri ufficiali delle banche. Lo schema ormai è collaudato e si ripete sempre uguale nelle denunce (anche se molti rinunciano) che le forze dell'ordine impilano quotidianamente sulle loro scrivanie (per quanto riguarda la polizia postale, il 2020 viaggia su una media di oltre 1.000 esposti al mese, ruolino di marcia che farebbe triplicare le denunce del 2019). copione sempre ugualeL'inganno ha inizio con un sms di allerta, che finisce tra quelli realmente ricevuti dalla propria banca e che segnala un tentativo di attacco informatico (del tipo, «Gentile cliente, la invitiamo a mettersi in contatto con il nostro ufficio prevenzioni frodi» o «Per la vostra sicurezza si prega di cliccare il seguente link»). Dopo pochi minuti il telefono della preda squilla. E sullo schermo appare il numero del servizio clienti della banca, che magari la vittima aveva diligentemente salvato nella rubrica dei contatti. Lo sventurato risponde (chi può biasimarlo?) ed entra in scena l'operatore farlocco, che a volte riesce anche a darsi un tono professionale con qualche musichetta d'ascensore e due o tre normative sulla privacy scopiazzate qua e là. Al malvivente mascherato non resta che segnalare strani movimenti sul conto corrente e chiedere la collaborazione dell'utente per bloccarli («Apra l'app, chiuda l'app, inserisca il pin, mi legga il codice di sicurezza che le abbiamo inviato...»). In realtà il truffatore sta portando a termine un bonifico (ovviamente istantaneo, così è impossibile da revocare) proprio con l'aiuto inconsapevole del possessore del conto. Con queste tecniche, spiega sempre la polizia postale, vengono sottratti in Italia quasi 5 milioni di euro al mese e anche in questo caso il 2020 rischia di triplicare il risultato dell'anno precedente (nel 2019 il phishing nelle sue varianti ha fruttato alle organizzazioni criminali 21,3 milioni di euro, in questa prima parte del 2020 siamo già a 20,2).varianti sul temaLe modalità d'attacco possono anche cambiare, la fantasia non ha limiti. I ladri utilizzano anche malware e virus per infettare computer e smartphone (attraverso link e allegati contagiosi) e rubare codici e password. A volte invece si presentano agli sportelli delle compagnie telefoniche con documenti falsi - o con i dati necessari precedentemente rubati - e chiedono una sim sostitutiva. Se la mossa ha successo (si chiama Sim swap) la preda si ritroverà con il telefono fuori uso, mentre il malfattore potrà operare sull'home banking al suo posto, neutralizzando i sistemi di doppia autenticazione, che in sostanza ruotano attorno agli sms. Una volta truffati non resta che denunciare (segnalando anche i money mule, i «muli» o «teste di legno» che dir si voglia, destinatari dell'invio di denaro di cui a questo punto si conoscono l'iban e le generalità) e disconoscere i movimenti bancari illegittimi, sperando che la banca, dopo opportune indagini, possa restituire il maltolto.nel dubbio, appendereMa come si fa a evitare di cadere in trappola se i criminali riescono a far credere allo smartphone che a chiamare sia proprio la banca? Intesa Sanpaolo, ad esempio, sta puntando sulla prevenzione, cercando di far tenere a mente a tutti i suoi clienti, attraverso il sito, che la banca «non chiede mai i codici di sicurezza all'utente, né di cliccare su link inviati via sms». E questo è già un buon suggerimento che vale per tutti, oltre al fatto che al primo dubbio è sempre consigliabile chiudere la conversazione: meglio chiamare il servizio clienti che essere chiamati. «Prevenire le frodi online è nostro impegno costante», spiega alla Verità Massimo Tessitore, responsabile del digital business di Intesa Sanpaolo, «ed è importante sottolineare che il gruppo non ha registrato alcuna compromissione dei propri sistemi informatici e protegge le credenziali dei clienti rendendole inaccessibili sulle infrastrutture tecnologiche della banca». Ad ogni modo si sta cercando di correre ai ripari perché, anche se il problema non sono i sistemi delle banche, la falla è comunque aperta. E gli istituti bancari, a loro volta vittime di queste razzie telefoniche, stanno attivando degli approfondimenti con i telecom provider (da cui dipende la gestione dei cosiddetti alias) e con le istituzioni competenti. Nell'attesa, meglio alzare le antenne ogni volta che il telefono squilla, altrimenti la vacanza è rovinata.