Introduzione
La società di sicurezza informativa ESET ha denunciato una nuova tipologia di raggiro online che permette ai truffatori di prelevare impunemente denaro dal bancomat delle vittime. Scoperto per la prima volta in Repubblica Ceca nel 2023, utilizza un malware, noto come NGate, installato sul cellulare delle vittime a loro insaputa attraverso il clic a un link inviato via sms, che ruba i dati e li trasmette agli autori delle truffe, permettendo loro di clonare la carta.
Per evitare fenomeni come questo, Bankitalia ha lanciato una campagna che vuole far conoscere agli utenti le diverse tipologie di inganni: tra questi ci sono il phishing, quando arriva via mail la richiesta di inserire i dati personali a un link; lo spoofing, quando i truffatori fingono di essere la propria banca che contatta per un’anomalia; e infine il man in the browser, che avviene quando vengono intercettati i propri riferimenti al momento del loro inserimento.
Quello che devi sapere
L’ultima truffa
- Occhio alle truffe: l’ultima arriva dalla Repubblica Ceca, dove è stato scoperto un nuovo inganno che permette ai truffatori di prelevare soldi tramite i cellulari delle vittime. Un furto che utilizza device analogici, ma anche digitali, e che potrebbe essere potenzialmente dannoso tanto per i giovani quanto per gli anziani.
Per approfondire: Truffe online, a rischio recupero del denaro dei bonifici istantanei: cosa sapere
Dove è stata scoperta
- A scoprirlo è stata la società di sicurezza informatica ESET, che ha riconosciuto questa nuova tecnica che potrebbe colpire i clienti di diverse banche mondiali. L'obiettivo è chiaro: facilitare i prelievi bancomat non autorizzati, proprio come successo per la prima volta in Repubblica Ceca nel 2023
Come funziona
- Ma come funziona questa truffa? Il protagonista è un malware, noto come NGate, che può trasmettere ai truffatori i dati delle carte di pagamento presenti sul cellulare ai telefoni dei truffatori. In questo modo è possibile clonare i dati NFC dalle carte di pagamento fisiche delle vittime inoltrandole poi al proprio dispositivo ed emulando la carta originale. A quel punto per i truffatori è un gioco da ragazzi prelevare dal bancomat
Perché le vittime sono ignare dell’accaduto
- Le vittime spesso non si rendono conto di questa truffa, visto che sono loro a scaricare il malware attraverso il clic a un link ricevuto via sms. Avuti i dati, i truffatori clonavano le carte per prelevare oppure, se questa modalità falliva, per trasferire fondi dai conti delle vittime ad altri conti bancari
Come difendersi
- Ma esiste un modo per difendersi dalle truffe? A questo proposito Bankitalia ha lanciato una campagna qualche mese fa dal titolo "Occhio alle truffe!". Sono diverse le tipologie considerate, come il phishing, lo spoofing e il man in the browser
Il phishing
- Il phishing è quando si riceve un’e-mail da un mittente che sembra affidabile dove si chiede di cliccare su un link, scansionare un QR code o fare qualcos'altro con urgenza. A quel punto viene chiesto di inserire dati riservati, come le credenziali per accedere al conto online (nome utente e password) o il numero e i codici della propria carta di credito. In questi casi non bisogna mai dare credenziali, password o codici; non cliccare mai su link o QR code e soprattutto fare attenzione alle operazioni fatte: in caso di anomalie è consigliabile contattare la propria banca
Quando si parla di phishing
- Occhio alle differenze: si parla di phishing quando tali avvisi arrivano sulla casella di posta elettronica, mentre cambia se si tratta di un messaggio sul telefono (in questo caso si parla di smishing) oppure di una telefonata (vishing)
Lo spoofing
- È diverso invece lo spoofing, che avviene quando si riceve una mail, un messaggio sul telefono o una telefonata da qualcuno che si presenta come la propria banca. In questo caso è buona regola leggere attentamente la mail, per notare se ci sono errori di grammatica (frequenti in questo genere di attività), e contattare la banca sui canali ufficiali, per verificare la veridicità di eventuali anomalie. In ogni caso, è sempre giusto non dare codici personali o dati della carta e verificare sempre i pagamenti effettuati
Man in the browser
- C’è poi il man in the browser, che avviene quando il truffatore intercetta i dati al momento dell’inserimento. Lo strumento adoperato è spesso un virus informatico che si infiltra nel browser (il programma che si usa per navigare in internet), modificando le transazioni o le pagine web in tempo reale. In questo caso è bene avere un antivirus aggiornato e non usare l’home-banking con le reti pubbliche
Cosa fare se si subisce una truffa
- Ciò che conta, nel momento in cui si ritiene di aver subito una truffa, è di contattare in modo tempestivo la banca. È importante segnalare eventuali truffe, mandando eventualmente anche un reclamo scritto. Nel caso in cui la Banca non accolga la richiesta, ci si può rivolgere all'Arbitro Bancario Finanziario e mandare un esposto alla Banca d'Italia. È sempre importante denunciare tutto anche alle Forze dell’Ordine.
Per approfondire: Truffa romantica online, prima il corteggiamento poi la richiesta di denaro