Ogni volta che pubblichiamo un articolo dove mettiamo in guardia da certe semplici truffe online, arrivate in massa a dirci che chi casca in questo genere di raggiri se lo merita. Noi continuiamo a credere che chi casca nelle truffe sia sempre una vittima, prima di tutto vittima di una società che ha catapultato la gente in una realtà fatta di connessioni iperveloci, siti inaffidabili, anglicismi incomprensibili, senza che nessuno si sia mai messo davvero d’impegno per spiegare come funzionano le cose. Poi, ma solo in un secondo tempo, vittime del truffatore stesso.

Il caso che trattiamo oggi non è una bufala, ma è emblematico di come certe truffe possano colpire anche coloro che dovrebbero, prima degli altri, essere aggiornati su come funzionano le cose.

Titola La Nuova (Venezia e Mestre):

Mestre, finto sms, dipendente di Banca Intesa alleggerito di 60 mila euro

Il racconto è il resoconto di un caso di phishing andato a buon fine, il classico SMS come ne abbiamo raccontati tanti, che c’invita a cliccare su un link per cambiare qualche dato sul nostro conto, link che però ci rimanda a una pagina fatta apposta per carpire i nostri dati d’accesso.

Quante volte su BUTAC ho spiegato di come non vadano mai cliccati i link che ci arrivano via SMS (ma anche via mail) senza prima averli verificati o aperti da browser anonimi? Quante volte ho visto risposte dove dicevate che se lo meritavano? Onestamente, troppe.

Il caso raccontato su La Nuova è da manuale, il problema è che a cascarci sia il dipendente della stessa banca, e che lo stesso abbia in conto corrente sessantamila euro che si possono movimentare senza fatica dal web. Sì perché ad esempio io, che gestisco svariati conti bancari in diversi istituti di credito, in tutti ho imposto un limite giornaliero alle operazioni web, in modo che non possa mai succedermi un caso come quello descritto.

Il modus operandi è noto: ti arriva l’sms, accedi a una piattaforma simile a quella della tua banca, inserisci username e password, vieni contattato da un supposto operatore che ti fa delle domande di rito – che a lui servono per superare qualche blocco e per autorizzare le operazioni da un nuovo dispositivo – per stornare movimenti sbagliati (dice lui) o bloccare possibili hacker (quando invece il pirata è proprio colui che ci sta facendo queste domande).

A raccontare la storia ai giornali è un associazione in difesa dei consumatori, Adico, il cui presidente, Carlo Garofolini, dice:

Questa non è una di quelle truffe alla Wanna Marchi. Qui i malviventi non si approfittano delle debolezze e delle fragilità dei potenziali clienti, non vendono numeri del lotto o alghe miracolose. Lo diciamo da tempo perché vediamo l’identikit delle vittime. Ci sono dipendenti di banca, in questo caso per la prima volta da noi un dipendente della stessa Banca Intesa; professionisti di vario genere, come commercialisti o avvocati, addirittura un ex sindaco di un grande Comune veneziano. E dispiace sentire alcune persone che si beffano dei truffati, tacciandoli per ingenui. Questa frode sta spopolando da due anni e ci casca chiunque a meno che il messaggio non arrivi a chi non è correntista di quel determinato istituto di credito. Noi, dunque, chiederemo il rimborso totale della cifra sottratta perché tutto ruota attorno alle falle dei sistemi di sicurezza che non possono permettere questi clamorosi raggiri.

Pur condividendo alcune delle cose che dice Garofolini in realtà ci duole dirlo ma questa è proprio una truffa alla Wanna Marchi, ovvero in cui il truffatore si approfitta delle debolezze e fragilità delle potenziali vittime. E ci tengo a dire che non è affatto vero che nella truffa ci caschi chiunque meno i non correntisti di quella specifica banca. Garofolini sta tentando forse di promuovere la propria associazione in difesa dei consumatori, ma su milioni di sms con scopo di phishing ci casca circa lo 0,1% dei riceventi. Pochi rispetto alla mole di messaggi inviati, moltissimi rispetto al danno che possono fare (e al poco sforzo da parte del truffatore).

Vediamo insieme le tre principali fragilità della vittima di questo tipo di truffa:

La prima è l’aver cambiato i limiti imposti in automatico sulle operazioni giornaliere effettuabili: le banche, pur prevedendo anche massimali importanti, non arrivano mai a permettere operazioni da sessantamila euro in un giorno da un conto normale, bisogna aver consciamente deciso di aumentare quel limite. Banca Intesa ha degli specifici limiti operativi giornalieri, a quanto mi risulta se vengono superati viene chiesta un’autorizzazione aggiuntiva.

La seconda debolezza è non avere sistemi aggiuntivi di sicurezza sul telefono, molti antivirus oggi riconoscono i tentativi di phishing da dispositivo mobile e avvertono che si è finiti su siti che non sono quelli che dicono essere.

La terza purtroppo è l’ignoranza o la fretta nel leggere quanto riceviamo. Non tutti ne sono al corrente, ma spesso i messaggi scam di questo tipo riportano errori ortografici e grammaticali, non perché chi li scrive è ignorante, ma perché sa che così facendo chi risponderà al suo messaggio è qualcuno che non fa caso ai dettagli, qualcuno con un basso grado di istruzione o attenzione, qualcuno che è più facile caschi nella truffa. Se tutto è fatto troppo bene è possibile che al messaggio iniziale rispondano molti più soggetti, che però nella fase due della truffa inzierebbero a fare attenzione a dettagli che li mettono sull’allerta,  non finendo nella rete del truffatore. La perdita di tempo diventerebbe tanta, rendendo la truffa meno redditizia. Colpire chi non fa caso agli errori, invece, è molto più facile. Ci cascano meno persone, ma si perde molto meno tempo.

Qualche dubbio sul racconto fatto da Adico ce l’ho, i limiti bancari narrati suonano strani, mi riservo di fare un controllo insieme a Banca Intesa.

maicolengel at butac punto it

Se ti è piaciuto l’articolo, sostienici su Patreon o su PayPal! Può bastare anche il costo di un caffè!
Un altro modo per sostenerci è acquistare uno dei libri consigliati sulla nostra pagina Amazon, la trovi qui.