„Saluti da San Lugano“
Testimonianza di un cliente in merito ad un tentativo di frode Nexi
L'informatica è un argomento che mi riguarda da vicino, tanto nella vita professionale che in quella privata. Esorto sempre la mia famiglia a prestare molta attenzione, soprattutto quando si tratta di condividere dati personali o effettuare operazioni bancaria. Tuttavia, un recente episodio mi ha fatto capire quanto abili siano diventati i truffatori e mi sono reso conto di quanto sia facile cadere nelle loro trappole. Ecco la mia storia.
Tutto è iniziato con un SMS ricevuto da Nexi e proveniente dal loro numero ufficiale, lo stesso da cui in precedenza ho ricevuto anche tutti gli altri avvisi, come la notifica dei codici di verifica per acquisti da me effettuati. Il messaggio era apparso nell’elenco, proprio come tutti gli altri messaggi Nexi. Ho quindi ritenuto che si trattasse di un messaggio autentico.
Il messaggio mi avvisava di un imminente addebito sulla mia carta di credito. Se fosse stato un addebito da me richiesto, non ci sarebbe stato alcun problema; altrimenti, avrei dovuto chiamare il numero indicato nel messaggio. Il testo era ben scritto e sembrava legittimo.
Tuttavia, il numero di telefono indicato era un normale numero di cellulare, non un numero Nexi. Sebbene inizialmente fossi dubbioso, ho pensato che una semplice telefonata non avrebbe comportato rischi; in caso di problemi, avrei potuto riagganciare subito. Inoltre, volevo assicurarmi che non ci avvenissero addebiti non autorizzati. Ero deciso a non trasmettere alcun dato personale, quindi non vedevo alcun pericolo nel fare quella chiamata.
Decisi dunque di chiamare il numero. Non rispose nessuno. Tuttavia, non appena ho riagganciato, sono stato subito richiamato. Dall’altra parte, una voce maschile rispose in italiano e mi disse: "Pronto, sono dell'assistenza Nexi. Ci ha contattati lei. Abbiamo un ordine di addebito sulla sua carta di credito. L'ordine proviene da un certo Alessandro di San Lugano. Ha effettuato lei questo ordine? Possiamo procedere con l’addebito?".
Risposi che non avevo effettuato alcun ordine e che mi trovavo a Bolzano, non a San Lugano.
L'uomo allora mi chiese conferma per annullare l'addebito e io confermai.
Proseguì: "Va bene, bloccheremo l'ordine di addebito. Presso quale banca è cliente?".
A quel punto mi sorse un dubbio. Nexi, in realtà, dovrebbe già sapere presso quale banca ho il mio conto. Decisi però di rispondere lo stesso: "Presso la Cassa Raiffeisen xy".
Poi la domanda successiva: "Il suo nome utente inizia con 5?".
Risposi di sì. Scoprii in seguito che tutti i nomi utenti iniziano per 5 e che il chiamante voleva solo fingere di conoscere già i miei dati.
L'uomo proseguì: "E come continua il suo nome utente?
Risposi: "Eh no, non le dirò qual è il mio nome utente. Anche un bambino sa che non si trasmettono dati personali".
Lui mi rispose: "Questo è vero, ma questa telefonata viene registrata e io sono qui per aiutarla ad evitare addebiti non autorizzati". In sottofondo sentivo il brusio tipico di un call center.
In quel momento ebbi un sussulto, e dissi: "Il fatto che la telefonata venga registrata non garantisce nulla. Non è una prova di sicurezza". Lui mi rispose: "Quindi non vuole cancellare l'ordine di addebito diretto?". Io replicai con fermezza: "Certo che voglio cancellare l'ordine di addebito diretto. Non l’ho autorizzato io".
Lentamente mi sono reso conto che qualcosa non andava. Mi trovavo messo alle strette. Da un lato, volevo evitare frodi sulla mia carta di credito, ma dall'altro non volevo trasmettere i miei personali.
L’uomo insistette: "Se vuole che l'ordine di addebito diretto venga annullato, deve fornirmi il nome utente completo. Solo in questo modo potrò bloccare immediatamente l'ordine".
A quel punto, decisi di essere cauto e gli dissi solo una parte del mio nome utente, tralasciando gli ultimi tre numeri: "Questo è il mio nome utente."
Lui rispose: "Manca ancora qualcosa".
Io, mantenendo la calma, replicai: "Infatti. Non si dovrebbe comunicare il proprio nome utente completo. Nexi non chiede mai questi dati, né per telefono, né per e-mail, né per SMS."
L’uomo, con una voce pacata e sicura, cercava di convincermi: "Sono dell'assistenza Nexi e sono qui per annullare l'ordine di addebito diretto che lei non ha autorizzato. Per farlo, ho bisogno del suo nome utente. Sono qui per aiutarla".
Sentivo una crescente ansia dentro di me. Gli risposi: "No, voglio prima chiarire con la mia banca e verificare se questo addebito esiste davvero".
Lui, mantenendo la calma, mi rispose: "Capisco perfettamente. Tuttavia, se questa telefonata venisse interrotta, sarò costretto ad autorizzare l'addebito. L'importo verrà prelevato dalla sua carta di credito e non potrò richiamarla. Al termine di questa telefonata, la richiesta verrà definitivamente chiusa". Le sue parole mi mettevano sotto pressione. Questa sembrava l'unica possibilità per evitare un addebito fraudolento sulla mia carta. Non volevo assolutamente che l'importo mi venisse addebitato. "Se riattacco ora, perderò i miei soldi", pensai.
Decisi così di fornirgli anche gli ultimi numeri del mio nome utente. Sul mio cellulare apparve immediatamente una notifica push che mi chiedeva di accedere e inserire la mia password.
L’uomo, sempre calmo, mi disse: "Deve autorizzare questa richiesta tramite notifica push, così che io possa cancellare l'ordine".
In quel momento ho avuto un’illuminazione: era evidente che ero caduto nella trappola di alcuni truffatori. Ho pensato: "Devo cercare di chiudere questa telefonata il più rapidamente possibile e interrompere la conversazione senza sembrare sospetto". Così ho finto di avere problemi di ricezione: "Pronto, pronto, mi sente? Non la sento", ho ripetuto più volte, poi ho riattaccato.
Pochi minuti dopo, il mio cellulare ha squillato di nuovo. Era lo stesso uomo che mi richiamava. Questa era la prova definitiva che si trattava di un truffatore. All'inizio aveva detto che non poteva richiamarmi e che appena avessi chiuso la chiamata, l'ordine sarebbe stato confermato e l’addebito eseguito. E ora mi chiama di nuovo?
Ho subito utilizzato l'applicazione Nexi sul mio cellulare per verificare se ci fossero addebiti sulla mia carta di credito e ho immediatamente bloccato la carta. Poiché era circa l'ora di pranzo, non ho potuto contattare il servizio clienti della Cassa Raiffeisen.
Non appena riuscii a parlare con la mia consulente e a raccontarle ciò che mi era capitato, lei capì subito che si trattava di un tentativo di frode. Mi fece le domande giuste e insieme valutammo come fosse meglio procedere. Mi suggerì di impostare il mio conto di e-banking "a vista", in modo tale che nessuno potesse effettuare prelievi online.
Il giorno successivo mi recai immediatamente alla mia Cassa Raiffeisen e richiesi un nuovo nome utente. Dopo tutto, ero stato io a renderlo noto, e non si sa mai, il truffatore avrebbe potuto tentare di inviarmi un’altra notifica push e, alla velocità con cui siamo abituati a fare tutto subito, avrei pure potuto, inavvertitamente, autorizzare l'accesso al conto.
In seguito, compresi che l’obiettivo del truffatore non era la mia carta di credito, bensì l'accesso al mio conto online. Due giorni dopo l’accaduto, ricevetti un altro SMS da "San Lugano", questa volta con un errore ortografico e un numero di telefono diverso da richiamare.
Il mio consiglio: ciò che vale per i link all’interno dei messaggi di testo o nelle e-mail vale anche per i numeri di telefono. Chiamate personalmente la vostra banca e non cliccate, per nessun motivo, su link sospetti. Digitate manualmente l'indirizzo ufficiale del portale online Raiffeisen o Nexi per verificare, anche al di fuori degli orari di lavoro, se esiste davvero un ordine di addebito diretto.
Patrick V. di Caldaro
Il racconto di Patrick descrive perfettamente la dinamica classica delle frodi realizzate negli ultimi mesi in Alto Adige e quali tecniche utilizzano i frodatori. La principale tecnica utilizzata prende il nome di Social Engineering: studiare il comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali. Il malfattore fa leva sulla psicologia umana, sfrutta la fiducia in un falso addetto alla sicurezza, la mancanza di conoscenza delle dinamiche frodatorie, trasmette un il senso di emergenza e fretta nella vittima per indurla a fornire dati riservati come password, informazioni su conti correnti, informazioni finanziarie e ad estorcere di conseguenza denaro o persino rubarne l’identità.
In questo caso particolare vengono utilizzate due teniche: lo smishing, una forma di phishing che utilizza gli SMS sui telefoni cellulari come piattaforma di attacco e il vishing, tramite invece l'uso della telefonata. Alcuni esempi estrapolati dal racconto di Patrick che confermano che si tratta di social engeneering:
- i frodatori accennano al fatto che il codice utente inizi con il numero 5, facendo credere di essere in possesso di un'informazione riservata. In realtà tutti gli account inziano con il 5. Questo è un esempio di manipolazione dell'utente.
- i frodatori al telefono sono "allenati" ad ottenre le informazioni per loro necessarie. Risulteranno quindo molto convincenti e sicuri di se
- Nel racconto viene anche evidenziato un altro elemento fondamentale di queste tecniche: il senso di urgenza: "se metti giù il telefono sono costretto ad autorizzare la transazione e non posso più richiamarti"
Cosa fare quindi per difendersi?
- La banca non chiede mai di eseguire operazioni via SMS (cliccare su link, effettuare chiamate).
- Non contattate mai un numero che non conoscete e che vi è stato fornito via SMS. Utilizzati sempre i numeri ufficiali della vostra banca o di Nexi.
- Non condividere mai via telefono i propri dati personali (in questo caso il codice utente di accesso per l'online banking): la vostra banca non ve lo chiederà mai.
- Mai autorizzare operazioni (quindi accessi o transazioni) che non conoscete. Se succede contattate la vostra banca che può effettuare delle verifiche.
Tutte queste informazioni sono anche presenti sul sito https://www.raiffeisen.it/de/cybersecurity.html
