Frode tramite un falso consulente bancario: analisi di questo attacco di vishing
In un mondo sempre più connesso, i criminali informatici non smettono mai di inventare nuovi stratagemmi per ingannare i propri bersagli, che si tratti di privati, aziende, enti pubblici o associazioni.
Sebbene il phishing rimanga il principale vettore degli attacchi informatici, le truffe telefoniche, come il vishing, stanno aumentando a un ritmo allarmante.
Tra queste, la truffa del falso consulente bancario sta registrando una crescita preoccupante in Francia, colpendo ogni anno migliaia di vittime.
Secondo l'ultimo barometro pubblicato da Cybermalveillance.gouv.fr, i casi di frode perpetrata da falsi consulenti bancari sono infatti aumentati del 78%, a dimostrazione della portata del fenomeno.
La crescente esposizione dei dati personali, in particolare a seguito delle recenti fughe di informazioni, contribuisce alla diffusione di questa truffa.
In questo articolo vi proponiamo di esaminare a fondo questa minaccia, comprenderne i meccanismi, analizzarne le conseguenze e, soprattutto, scoprire le migliori pratiche per proteggersi in modo efficace.
Che cos'è la truffa del falso consulente bancario?
Definizione
La truffa del falso consulente bancario è una tecnica di frode in cui i criminali informatici si fingono dipendenti di banca per ottenere informazioni sensibili o sottrarre fondi.
Questa truffa rientra in una categoria più ampia denominata «vishing», un termine derivante dalla fusione delle parole «voice» e «phishing». Il termine «vishing» può essere tradotto in italiano con «phishing vocale».
Il vishing consiste nell'uso di chiamate telefoniche fraudolente per manipolare psicologicamente le vittime e indurle a rivelare dati riservati.
Questo metodo si avvale dei principi dell'ingegneria sociale, un insieme di tecniche volte a influenzare i comportamenti facendo leva su fattori emotivi quali la paura, l'urgenza, la fiducia o l'empatia.
I metodi utilizzati nella truffa del falso consulente bancario
Come abbiamo visto, la truffa del falso consulente bancario si basa su attacchi di vishing, che possono presentarsi in diversi modi e con diversi livelli di complessità:
1. Chiamate telefoniche dirette: il truffatore contatta direttamente la vittima per telefono. La chiamata può avvenire tramite la rete telefonica tradizionale o tramite VoIP con applicazioni come WhatsApp (il Voice over IP è una tecnologia che consente di effettuare chiamate vocali tramite Internet).
In entrambi i casi, chi chiama si presenta come un consulente bancario e sostiene di voler risolvere un problema relativo al conto della vittima.
2. Attacco ibrido tramite e-mail e/o SMS di phishing: in questo caso, la vittima riceve innanzitutto un SMS o un’e-mail in cui viene informata di un problema relativo al proprio conto bancario o di un pagamento fraudolento imminente.
Il messaggio invita quindi a contattare urgentemente un numero di telefono per essere messi in contatto con un presunto consulente bancario. Questi messaggi imitano ovviamente le comunicazioni ufficiali delle banche.
3. Consegna di una carta di credito a un corriere: tra le tecniche di truffa più sofisticate, alcuni truffatori riescono a sottrarre fisicamente la carta di credito alla vittima.
Dopo aver instaurato un clima di fiducia, adducono come pretesto un’anomalia di sicurezza sull’account e insistono affinché la vittima comunichi il proprio codice segreto con la scusa di effettuare una verifica.
Successivamente invitano la vittima a consegnare la propria carta a un corriere, sostenendo che la banca deve recuperarla per metterla al sicuro o distruggerla. Una volta in possesso della carta e del codice, i truffatori la utilizzano immediatamente per prelevare contanti o effettuare acquisti.
4. Utilizzo di software di tipo infostealer: questi programmi dannosi sono progettati per rubare informazioni sensibili memorizzate su un dispositivo infettato. Una volta installati (ad esempio tramite un link di phishing che reindirizza a un falso negozio di app), questi software monitorano l'attività dell'utente e raccolgono dati (nomi utente, password, ecc.).
Come rivelano alcuni ricercatori coreani in uno studio, alcune app possono arrivare a controllare in modo molto approfondito il telefono della vittima:
-
- Eliminazione delle eventuali applicazioni anti-phishing presenti sul dispositivo.
- Invio di foto, video, registrazioni vocali, ecc.
- Inoltro delle chiamate (per bloccare tutte le chiamate verso numeri di telefono legittimi e reindirizzarle verso un numero fraudolento).
- Visualizzazione di un overlay (finta schermata) per nascondere le chiamate indesiderate.
- Blocco delle chiamate esterne legittime.
- Modifica del registro delle chiamate (in modo che venga visualizzato il numero corretto al posto di quello fraudolento).
Come funziona la truffa del falso consulente bancario?
Fase 1: L'accesso iniziale
La prima fase di una truffa perpetrata da un falso consulente bancario consiste quindi nel contattare la vittima. L'obiettivo del cybercriminale è quello di manipolare le emozioni della vittima.
Punterà quindi sulla paura, sull’urgenza, sulla fiducia e sul rispetto dell’autorità. Adotta un tono rassicurante e professionale per informare la vittima di una presunta attività sospetta sul suo account.
Fase 2: La manipolazione
Una volta avviata la conversazione e instaurato un rapporto di fiducia, il truffatore può continuare a manipolare la vittima. Per rafforzare la propria credibilità, il truffatore può fornire dettagli sulla vittima, ottenuti da banche dati violate o tramite i social network.
Può quindi richiedere informazioni sensibili (come un codice di verifica ricevuto via SMS) o indurre la vittima a compiere direttamente delle operazioni.
Fase 3: Il trasferimento fraudolento
Lo scopo di una truffa perpetrata da un falso consulente bancario è quello di sottrarre denaro. Una volta in possesso delle informazioni necessarie, il truffatore può raggiungere il proprio obiettivo chiedendo alla vittima:
- I numeri della sua carta di credito per effettuare acquisti su Internet.
- Le credenziali di accesso al suo spazio bancario personale per poter trasferire autonomamente i fondi.
- Effettuare bonifici fraudolenti con un pretesto (ad esempio, per mettere al sicuro il denaro da un attacco hacker trasferendolo su un nuovo conto corrente).
I segnali di una truffa perpetrata da un falso consulente bancario
Comportamenti sospetti da tenere d'occhio
Nonostante la crescente professionalità degli hacker, alcuni segnali possono tradire un tentativo di frode da parte di un falso consulente bancario:
- Canali di comunicazione insoliti: alcune chiamate di vishing passano attraverso la rete telefonica tradizionale, mentre altre utilizzano software VoIP, una modalità di comunicazione che una banca non utilizzerebbe.
- E-mail o SMS che invitano a chiamare un numero: è raro, per non dire impossibile, che una banca avvisi i propri clienti tramite SMS o e-mail di un problema sul loro conto.
- Chiamate a orari insoliti: i truffatori contattano spesso le loro vittime la mattina presto, la sera tardi o nei giorni festivi. Anche in questo caso si tratta di un segnale che fa presagire una truffa.
- Tono urgente o minaccioso: il truffatore spinge la vittima ad agire in fretta, con la scusa di risolvere un problema o di impedire un pagamento. L'urgenza è la chiave di questi attacchi. L'obiettivo è spingervi ad agire d'impulso invece di prendere le distanze dalla situazione. Siate attenti a questi segnali.
- Richieste di informazioni riservate: il presunto consulente bancario chiede credenziali, password o codici di verifica ricevuti via SMS o e-mail. Un vero consulente bancario non lo farebbe mai.
Controlli da effettuare
In caso di sospetto di un tentativo di frode da parte di un falso consulente bancario, è opportuno seguire queste regole:
- Verificare il numero del chiamante: anche se il numero visualizzato sembra legittimo (un numero già salvato nella rubrica o che riporta il nome di un’azienda conosciuta), potrebbe trattarsi di un caso di spoofing telefonico. La cosa migliore è terminare la conversazione e richiamare il numero legittimo. Idealmente, la richiamata dovrebbe essere effettuata da un altro dispositivo, nel caso in cui il telefono fosse infettato da un software spia.
- Fare domande a chi chiama: un truffatore potrebbe sapere molte cose su di voi (cognome, nome, numero di telefono, indirizzo, numeri di carte di credito, numeri di conto, ecc.). Tuttavia, non esitate a fargli domande e a metterlo alle strette. Alla fine finirà sicuramente per smascherarsi.
- Dite il meno possibile e non fate nulla: una banca non vi chiederà mai credenziali di accesso o altre informazioni sensibili per telefono. Allo stesso modo, non vi inviterà mai a effettuare transazioni tra i vostri conti o verso un conto esterno. Se chi vi chiama vi chiede di farlo, avete a che fare con una truffa perpetrata da un falso consulente bancario.
Cosa fare in caso di truffa da parte di un falso consulente bancario?
Le fasi fondamentali
Se siete stati vittime di una truffa perpetrata da un falso consulente bancario, è fondamentale agire senza indugio per proteggere le vostre finanze ed evitare che altre persone cadano nella stessa trappola. Ecco le prime misure da adottare:
- Contattate immediatamente la vostra banca per segnalare la truffa e mettere al sicuro i vostri conti bancari e i vostri mezzi di pagamento.
- Presentate denuncia alla polizia, alla gendarmeria o al procuratore della Repubblica.
- In caso di frode con carta di credito, segnalatela sulla piattaforma Perceval del Ministero dell'Interno, creata appositamente per contrastare questo tipo di truffa.
- Visita il sito 17Cyber per ricevere assistenza nelle tue pratiche e consigli in materia di sicurezza informatica.
Migliorate la vostra sicurezza e avvisate i vostri cari
Oltre alle procedure ufficiali, informare i propri cari è un passo fondamentale. I truffatori prendono spesso di mira gli anziani, ma anche i giovani adulti sono vulnerabili, per quanto possa sembrare paradossale, come evidenzia uno studio recente. Informare i propri cari permette di evitare che diventino le prossime vittime.
In ambito professionale, avvisate immediatamente il vostro reparto di sicurezza informatica e i vostri colleghi per impedire che l'attacco si diffonda.
Infine, per evitare qualsiasi tentativo di intrusione in futuro:
- Cambiate tutte le vostre password per proteggere i vostri accessi digitali.
- Reimposta il tuo cellulare per eliminare eventuali programmi spia.
Come proteggersi dalle truffe dei falsi consulenti bancari?
Mantenere un profilo basso sui social media
Un cybercriminale non può mettere in atto una strategia di ingegneria sociale senza disporre di informazioni su di te. È quindi importante limitare la propria impronta digitale, ovvero la superficie di attacco.
Non pubblicate nulla di personale sui social media, compresi quelli professionali, che spesso rappresentano una miniera d’oro per i malintenzionati.
Già nel 2012, il ricercatore Michal Kosinski e i suoi colleghi delle università di Cambridge e Stanford hanno dimostrato che un algoritmo di apprendimento automatico è in grado di determinare con precisione i tratti della personalità di un individuo analizzando le sue reazioni su Facebook.
E che dire allora di un curriculum con tutti i vostri dati di contatto e le informazioni personali disponibili pubblicamente su LinkedIn?
Se desiderate pubblicare sui social media, è meglio limitare il pubblico alle persone di fiducia.
Inoltre, aggiungete ai vostri contatti solo persone che conoscete davvero e prestate attenzione quando uno sconosciuto cerca di entrare a far parte della vostra rete.
Proteggersi il più possibile dalle fughe di dati
Gli utenti non sono responsabili della sicurezza delle aziende a cui affidano i propri dati. Tuttavia, è dovere di ciascuno prestare attenzione.
Ciò significa registrarsi solo su siti affidabili che trattano i dati nel rispetto della legge e, in particolare, del GDPR.
Ciò significa anche non inserire più informazioni del necessario e, ad esempio, non compilare i campi non obbligatori.
Per iscriversi a una newsletter, non dovrebbero essere richiesti, ad esempio, la data di nascita o l'indirizzo postale.
Conclusione
La truffa del falso consulente bancario rappresenta una minaccia crescente, aggravata dalla proliferazione delle fughe di dati sul dark web, dove circolano informazioni sensibili quali gli IBAN e altri dati personali degli utenti.
Sebbene esistano soluzioni tecniche per filtrare le chiamate e gli SMS fraudolenti, queste non sono infallibili. I criminali informatici riescono talvolta ad aggirarle utilizzando tecniche avanzate, come l’installazione di software spyware sui dispositivi presi di mira.
Di fronte a questa minaccia, la migliore difesa rimane l'individuo. Sviluppare uno spirito critico nei confronti delle comunicazioni sospette e imparare a riconoscere i segnali di allarme sono competenze fondamentali per limitare i rischi.
La sensibilizzazione rappresenta quindi uno strumento fondamentale, sia in ambito familiare, dove è fondamentale discutere con i propri cari di queste pratiche fraudolente, sia in ambito professionale, dove è indispensabile valutare la resistenza dei team di fronte ai tentativi di vishing.
In quest'ottica, le simulazioni di vishing, come quelle proposte da Hucency, consentono di verificare in condizioni reali la capacità dei dipendenti di individuare un attacco.
Queste simulazioni sono seguite da un rapporto dettagliato che fornisce raccomandazioni personalizzate per rafforzare le procedure interne e ottimizzare la strategia di difesa contro queste frodi sofisticate.
Contattateci per scoprire se la vostra organizzazione è pronta ad affrontare un attacco di vishing.
