Truffe online, allerta della polizia postale per sms-civetta

28 marzo 2020La polizia postale e delle comunicazioni è partita dalla denuncia di un cittadino che ha ricevuto sullo smartphone un sms proveniente, apparentemente, da un 'servizio clienti' della sua banca che lo invitava a cambiare le proprie credenziali di accesso.

"A causa del virus Covid 19 - questo il testo ricevuto - la Banca X  impone nuove restrizioni che determinano il blocco del conto, si prega di sbloccarlo tramite link  www.xxxxx.com  con l'inserimento dell'acronimo dell'Istituto bancario".

Nuovi nomi per vecchie truffe
Agli investigatori della Polizia postale non ci è voluto molto per accertare che si trattava di un tentativo di "smishing", l'ultima versione delle cyber-truffe. Il termine deriva dall'unione tra sms e phishing  - la "pesca" dei dati che lo stesso utente, ignaro o frettoloso, fornisce ai cyber criminali. 

Nel messaggio infatti veniva chiesto al cliente di cliccare su un collegamento che lo indirizzava a un pagina web di login identica a quella di un istituto di credito, attraverso una connessione criptata, quindi apparentemente sicura, che può trarre in inganno più facilmente.  Si tratta di una pagina-civetta, rimanda ad un sito truffaldino per impossessarsi delle credenziali dell'utente.  Un sito che resta attivo per poco tempo,  il periodo necessario a portare a termine l'inganno e poi migrare su altro server alla ricerca di nuove vittime, spiega la polizia. 

La trappola della fretta
"Quasi sempre - spiegano gli investigatori - i cyber criminali sfruttano meccanismi psicologici, come l'urgenza o la possibilità di ottenere un vantaggio personale. La trappola scatta quando gli utenti, dopo aver cliccato sui link, approdano in siti online accuratamente artefatti che chiedono l'inserimento di dati personali" e "spesso in questo tipo di truffe la veste grafica del sito fraudolento è assolutamente identica a
quella del sito originale e per questo possiamo cadere in errore".

Come tutelarsi
Soltanto "la presenza di una pagina criptata, ovvero la dicitura 'https' accanto al simbolo di un lucchetto nella Url rende un sito attendibile". Questo è molto importante perché "qualora  la pagina presenti l'apparente sicurezza della connessione protetta (https), cliccando sul lucchetto presente nella Url possiamo verificare gli estremi del certificato digitale: se è stato rilasciato da poco, magari per una durata limitata ed è assegnato a soggetto diverso all'istituto di credito interessato, siamo quasi sicuramente vittime di un tentativo di frode"

Bisogna poi tenere presente che  "nessun istituto bancario invita i propri clienti attraverso mail, sms, telefono o messaggi sui social a fornire password, dati delle carte, pin, credenziali, chiavi di accesso all'home banking o altri codici personali".

Le raccomandazioni
E' sempre consigliabile accedere al proprio conto corrente mediante collegamenti diretti. La Polizia postale raccomanda inoltre di "non collegarsi al sito indicato nel testo dell'sms" e, nel caso ci si sia collegati per errore, "non fornire alcun tipo di credenziali o dati personali e non autenticarsi"; "non scaricare documenti o allegati"; "diffidare di richieste di cui non sia certa la provenienza".