Condividi

Frodi online: è allarme “vishing”. Cos’è e come difenderci dalle telefonate truffa

Ci attaccano via mail, con l’ormai nota tecnica del phishing. O via Sms, con lo smishing. Ma la truffa più insidiosa viene ora da una semplice telefonata, grazie alla contraffazione del numero chiamante. Tutto lascia credere che dall’altra parte ci sia davvero la nostra banca, o il nostro fornitore di servizi. Ma non è così.

Frodi online: è allarme “vishing”. Cos’è e come difenderci dalle telefonate truffa

Al phishing, la mail truffaldina che tenta di carpire i nostri dati, ci siamo “quasi” abituati. E anche allo smishing, la variante via sms. Ma che dire del vishing, l’ultima sofisticata variante del classico tranello telefonico via voce. Funziona così: riceviamo una telefonata, preferibilmente sul nostro cellulare così che il numero chiamante possa essere visualizzato con chiarezza e immediatezza. Eccolo lì il nostro fidato numero. Accompagnato, come ormai spesso succede, da una scritta che lo identifica in maniera chiara, per esteso. A chiamarci è la nostra banca, l’assicurazione, l’operatore del gas o della luce. O magari l’Agenzia delle entrate, perché sul nostro display è scritto proprio così. E poi c’è quella voce così professionale che ci fa subito sentire a nostro agio. C’è un problema con il conto bloccato, ma possiamo risolverlo insieme al nostro efficiente partner del momento. C’è qualcosa che non va nella bolletta ma possiamo subito sistemare la cosa. Una voce ci guiderà: basta inserire qualche codice personale e seguire la procedura indicata. Il numero che appare sembra una garanzia assoluta. Ci fidiamo. Guai a noi.

Come funziona la truffa

Il vishing (voice phishing) non è nato ieri, ma da qualche tempo si è fatto davvero insidioso grazie alla combinazione con un’altra maledizione delle tecnologie delle telecomunicazioni: il caller id spoofing, di cui abbiamo già parlato diffusamente, ovvero la manipolazione del numero trasmesso al telefono ricevente, che appare essere quel che non è. Dispositivi e procedure per mettere in atto il trucco sono ampiamente usate dai call center che massacrano tutti noi ogni giorno per farci cambiare gestore dei servizi o offrirci improbabili occasioni di investimento. Ma c’è, appunto, di peggio: il caller id spoofing usato per conquistare la nostra fiducia e magari svuotarci il conto in banca.

Dall’altra parte del telefono, a tentare la frode, c’è spesso un criminale professionista raffinato, un’organizzazione truffaldina complessa, capace di avvalersi con maestria della cosiddetta ingegneria sociale, l’insieme di tecniche che si fondano sui sentimenti innati: fiducia e paura, avidità e altruismo. La dinamica è quella dei due tempi: alterare nostre emozioni mettendoci di davanti a un imprevisto, per offrirci immediatamente dopo un salvagente che ci garantisce una soluzione pressoché immediata. Un buon servizio, che viene da coloro che abbiamo già scelto per risolvere nostre incombenze di tutti i giorni. Perché stupirsi?

Il catalogo dei tranelli

C’è un vero catalogo personalizzato nelle truffe messe in atto con queste tecniche. Il malfattore sa che la sua preda a una persona anziana e probabilmente poco smaliziata? Ecco l’altolà di quella che crediamo essere la nostra banca: è in atto un attacco informatico bisognoso di essere disinnescato cambiando i codici di accesso del conto. Può farlo direttamente chi sta dall’altra parte della cornetta. Basta fornirgli i codici. E poi, insieme e via telefono, la procedura di validazione dell’operazione dal nostro cellulare, visto che questa è ormai una pratica universalmente diffusa proprio per ostacolare le frodi. E che dire della banda che opera con sedicenti funzionari dell’Agenzia delle entrate che ci informano della scadenza entro la giornata della possibilità di sanare le imposte non pagate (di cui magari non siamo a conoscenza) evitando pesantissime sanzioni? Stessa tecnica: operazione via telefono “e tutto va a posto sanando il pregresso e senza sanzioni evitate all’ultimo minuto”.

Conto, codici, messaggi di conferma, validazione dell’operazione: tutto fatto con la collaborazione del solerte e disponibilissimo funzionario. Del resto è vero o no che tutti, ma proprio tutti, gli ultimi governi in carica hanno messo in campo fantastici progetti per il “fisco amico”? Talmente amico che qualche sedicente funzionario particolarmente dedito alla tutela degli anziani si offre perfino di mandare qualcuno a prelevare direttamente a casa nostra i contanti necessari: fa fede il numero che compare sul nostro display e fa fede la nuova telefonata che riceveremo “per sicurezza” quando l’incaricato si presterà a suonare il campanello di casa. Sembra incredibile ma qualcuno ci casca ancora oggi.

Attenzione: se i guai provocati dagli esempi che abbiamo appena fatto sono sicuramente rilevanti, a crearci potenziali problemi c’è ben altro. Non solo la condivisione dei dati della nostra carta di credito, ma anche la semplice richiesta degli estremi di un documento e del nostro conto corrente può esporci a una serie infinita di frodi: la stipula, ad esempio, di prestiti a nostro nome.

Come prevenire e come difenderci

Prima regola universale: i nostri dati, qualunque essi siano, non vanno mai condivisi né semplicemente confermati via telefono, nemmeno se chi chiama sembra proprio l’impiegato della nostra banca o il funzionario della società di cui siamo clienti. Una richiesta di questo tipo è comunque anomala, non rispetta nella prassi nelle regole chiunque operi correttamente. Deve immediatamente metterci in guardia su un tentativo di frode. E men che mai conviene rispondere a numeri sconosciuti o oscurati. Lasciamo semmai inserita la segreteria telefonica, ascoltiamo il messaggio e poi valutiamo con calma la situazione: se pensiamo che esista una reale possibilità che la telefonata sia autentica ci basterà richiamare noi quel numero.

Ma per maggior sicurezza mettiamo in atto ulteriore accortezza: se la telefonata è stata ricevuta su un telefono fisso richiamiamo da un telefono cellulare e non dallo stesso apparecchio, che nel caso di un tradizionale telefono ancora collegato alla centrale con un doppino di rame (caso oggettivamente raro, ma accade ancora oggi) potrebbe essere stato momentaneamente scollegato e ricollegato ad un simulatore di linea dai malfattori direttamente dall’armadietto telefonico di zona. Una truffa nella truffa, che però è impossibile da attuare se il nostro telefono fisso funziona con un collegamento in fibra ottica che arriva direttamente a casa.

Sospettiamo di aver subito un tentativo di vishing? O magari ci siamo proprio cascati? I passi da fare immediatamente sono intuibili. Primo passo: modifichiamo all’istante i codici di accesso che abbiamo condiviso. Secondo, e possibilmente contemporaneo, passo: per tentare di disinnescare il prodotto della truffa avvisiamo subito la società o l’operatore coinvolto. Terzo passo (lesto anche questo): facciamo un esposto-denuncia al Commissariato o alla stazione dei Carabinieri di zona.

Commenta