Phishing: lo agganciano su Facebook e gli svuotano il conto
Provengono tutti e quattro dalla Sicilia, tre dei quali pregiudicati e con precedenti specifici. Le indagini della Polizia Postale e delle Comunicazioni sono partite da una denuncia sporta da un romano, vittima di una transazione fraudolenta di circa 10.000 euro, effettuata mediante accesso abusivo al proprio conto corrente on line. Gli investigatori hanno ricostruito il particolare modus operandi, adottato dagli indagati che nella circostanza hanno sfruttato le caratteristiche di facebook, Whatsapp e dei conti correnti on line.
La vittima, infatti, è stata preliminarmente "agganciata" su facebook da un utente a lui sconosciuto, dal nome femminile, con cui ha intrattenuto una conversazione subito spostata su Whatsapp, come richiesto dall'interlocutrice. Dal profilo del social network, gli impostori hanno quindi carpito la data e il luogo di nascita della parte offesa, nonché l'indirizzo di posta elettronica, mentre l'utenza mobile è stata individuata grazie al contatto Whatsapp. Una volta in possesso di tali dati, i malviventi hanno proceduto a chiedere e ottenere il duplicato della sim card abbinata all’utenza in uso alla persona offesa, utilizzando i suoi dati anagrafici.
Poi hanno effettuato il reset della password di accesso alla casella di posta elettronica del denunciante, operazione che ha consentito loro, una volta ottenuta la nuova password, di accedere ai contenuti dei messaggi di posta elettronica in giacenza, tra cui quelli della banca on line, dove era indicato il codice cliente del conto corrente. A quel punto, i malviventi hanno proceduto al reset del Pin del conto on line, ottenendo una nuova password di accesso, inviata sull’utenza mobile del reale titolare, ma di fatto in loro possesso. Infine, ottenuti i dati necessari, hanno effettuato l’accesso al conto on line della vittima, disponendo il bonifico fraudolento a favore di un Iban a loro intestato.
Il phishing è una truffa informatica che permette di carpire, attraverso un'e-mail, i dati di accesso personali alla propria banca online. Ecco come avviene. Arriva nella casella di posta elettronica un'e-mail che sembra provenire dalla vostra banca e vi dice che c'è un imprecisato problema al sistema di "home banking". Vi invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul link indicato nella mail. Subito dopo aver cliccato sul link, si apre una finestra su cui digitare la "user-id" e la "password" di accesso all'home banking. Dopo pochi secondi, appare un'altro finestra che informa che, per assenza di collegamento, non è possibile la connessione.
A questo punto qualcuno è entrato in possesso dei vostri dati e può effettuare operazioni dal vostro conto. Il raggiro consiste nell'acquisire user-id, password, nome dell'istituto di credito ed eventuali altri dati immessi dall'utente. Oltre alla posta elettronica, i mezzi utilizzati dai truffatori per entrare in possesso dei dati altrui, possono essere gli sms, nonché il contatto attraverso i social network e le applicazioni di messaggistica istantanea. Quest'ultima modalità di phishing è nuova.
Ecco 10 consigli per evitarlo:
1. Scegliere una password sicura, con almeno sei numeri, lettere e segni di punteggiatura. Non usare la stessa combinazione per altri account.
2. Usare le funzioni di sicurezza aggiuntive. Un esempio, sui social network, è la sezione “luogo di accesso”, all’interno delle "impostazioni": si possono controllare gli accessi al proprio account con data, ora e località approssimativa da cui è stato effettuato il login. Si può anche scegliere l’opzione "Termina attività" e disconnettersi da quel computer, telefono o tablet. Per avere un maggiore controllo, si può scegliere di approvare gli ingressi: una volta attivato, viene richiesto di inserire uno speciale codice di sicurezza ogni volta che si prova ad accedere al proprio account da un nuovo computer o cellulare. Una volta effettuato l’accesso, si potrà attribuire un nome al dispositivo usato e salvarlo.
3. Assicurarsi che i propri account e-mail siano protetti.
4. Disconnettersi dai social network quando si usa un computer che si condivide con altre persone.
5. Installare un software anti-virus sul computer.
6. Pensarci bene prima di scaricare o cliccare su un contenuto. Se un link vi insospettisce, non apritelo, nemmeno se proviene da un amico o da un contatto che conosci. Questa precauzione vale anche per i link inviati sui social network (ad es. in chat o in una notizia) o nelle e-mail. Se uno degli amici clicca su un link spam, potrebbe inconsapevolmente inviare l’elemento spam o taggarvi in un post spam.
7. Fai attenzione alle pagine e alle applicazioni/ai giochi falsi. Essere diffidenti verso le pagine che promuovono offerte troppo convenienti. In caso di dubbi, controllare che si tratti di una pagina verificata. Prestare attenzione quando si installano applicazioni o giochi nuovi.
8. Non accettare richieste di amicizia da persone che non si conoscono. Attraverso account falsi provano ad entrare in possesso dei vostri dati con l’opportunità di scrivere sul vostro diario e inviarvi messaggi in privato. Anche i vostri amici reali potrebbero diventarne vittima.
9. Non rivelare mai le informazioni di accesso. A volte le persone o le pagine promettono qualcosa se condividi mail e password con loro.
10. Aggiornare il browser. Le versioni più recenti dispongono di sistemi di protezione integrati. Ad esempio, possono essere in grado di avvertirvi se state per visitare un sito sospettato di praticare phishing. In ogni caso, prima di inserire i dati di accesso, accertatevi che l’Url della pagina sia quella reale: spesso gli autori di spam configurano una pagina falsa identica alla pagina di accesso al social network, nella speranza che l’utente inserisca l’indirizzo e-mail e la password.
Fonte: Il Messaggero