Il phishing che porta a false chiamate di assistenza bancaria è un tipo di truffa in cui gli aggressori inviano messaggi di phishing (solitamente e-mail o SMS) che sembrano provenire da istituti bancari legittimi.
Questi messaggi inducono le vittime a fornire informazioni personali, come numeri di conto bancario, password o informazioni di sicurezza, spesso affermando che c’è un problema con il loro account e che è necessario risolverlo urgentemente. Successivamente, i truffatori possono utilizzare queste informazioni per accedere ai conti bancari delle vittime o per compiere altre attività fraudolente.
A volte, dopo aver ottenuto le informazioni sensibili attraverso il phishing, i truffatori possono anche chiamare le vittime fingendosi dipendenti della banca o dell’istituto finanziario e chiedendo ulteriori dettagli o addirittura guidando alla installazione di un presunto tool di sicurezza (spesso un software per il controllo remoto) sotto il pretesto di risolvere il problema segnalato.
L’ultima campagna smishing a tema Unicredit
Un SMS apparentemente proveniente dall’istituto bancario tramite tecniche di spoofing, chiede di disconoscere, cliccando sul link di una presunta app di accesso sicuro, un tentativo di accesso non autorizzato all’home banking da un nuovo dispositivo. In realtà il collegamento porta ad una semplice pagina di login web con loghi e grafica Unicredit contraffatti. La pagina, visualizzabile solo da dispositivi mobili con indirizzi IP geolocalizzati in Italia, richiede in questo caso: il Codice Adesione, il PIN, il numero di telefono e dopo un codice OTP ricevuto.
Ecco cosa potrebbe accadere:
- La vittima inserisce Codice Adesione e PIN sulla falsa pagina di login e attende l’arrivo del codice OTP;
- I truffatori inseriscono questi dati carpiti nella vera pagina di login della banca avviando l’autenticazione 2FA;
- la vittima riceve il codice OTP e lo inserisce nella falsa pagina di richiesta OTP;
- i truffatori una volta in possesso di questa terna (Codice Adesione, PIN e OTP) possono accedere all’home banking della vittima, telefonarle e con altre escamotage ottenere altri codici OTP in realtà per autorizzare bonifici bancari verso conti fraudolenti ad insaputa dell’utente.
Proteggersi da questo tipo di truffe
È importante essere consapevoli e diffidenti dei messaggi che sembrano provenire da istituti finanziari e non fornire mai informazioni personali o bancarie tramite canali non sicuri e non convenzionali come e-mail non verificate o chiamate telefoniche inaspettate. In caso di dubbi sulla legittimità di una comunicazione, è meglio contattare direttamente l’istituto di credito utilizzando i canali ufficiali disponibili sul loro sito web o sulla carta di credito/bancomat.
Come vengono utilizzate le informazioni rubate
In generale, l’obiettivo principale dei truffatori dopo aver ottenuto informazioni sensibili è quello di sfruttarle per ottenere un guadagno finanziario illegittimo o compiere altre attività fraudolente a danno della vittima, tra cui:
- Furto di identità: Utilizzano le informazioni personali ottenute per impersonare la vittima e compiere transazioni fraudolente, come l’apertura di nuovi conti bancari, l’ottenimento di carte di credito o prestiti a nome della vittima.
- Accesso ai conti finanziari: Utilizzano le credenziali bancarie ottenute per accedere ai conti bancari online delle vittime e compiere transazioni non autorizzate, come trasferimenti di denaro o acquisti.
- Phishing mirato: Possono utilizzare le informazioni ottenute per continuare a inviare phishing mirato, sfruttando ulteriormente la fiducia della vittima per ottenere altre informazioni.
- Vendita delle informazioni: Le informazioni rubate possono essere vendute sui market underground a altri criminali per scopi simili.
