Postepay insieme ai conti correnti delle maggiori banche come Unicredit, SanPaolo, BNL e Banca di credito Cooperativo sono a rischio truffa, infatti, in queste ore stanno arrivando diversi SMS ai clienti Tim, Wind, Tre e Vodafone con un link che reindirizza in una pagina di phishing.
Phishing: cosa è
Il termine allude all’uso di tecniche sempre più evolute per pescare dati personali di un utente, come il numero della carta di credito o password di accesso a servizi di home banking. Si tratta di una truffa attraverso SMS, messaggi WhatsApp o Email che vengono ogni giorno inviati a numerosi utenti.
SMS phishing o SmiShing
Lo SmiShing è un SMS del tutto simile a quello che verrebbe inviato da un ente affidabile come istituti di credito, società di commercio elettronico o transazioni online e compagnie telefoniche, con relativo logo identificativo. Nell’SMS ricevuto si riportano vari tipi di problemi tecnici come un aggiornamento software o la scadenza dell’account personale cercando di motivare l’utente a cliccare sul link riportato nel messaggio per sistemare il problema o per informarsi ulteriormente.
Truffe per i clienti Postepay e Conti Correnti
L’attacco phishing
Una volta cliccato il link possono accadere due cose:
- nel primo caso, cliccando sul link l’utente scaricherà inconsapevolmente un virus, permettendo al phisher di prendere possesso dei dati di accesso alle varie piattaforme e siti presenti e registrati sul proprio telefono;
- nel secondo, l’utente verrà indirizzato a un sito finto simile a quello dell’istituto nominato nella comunicazione dell’SMS. Questo sito è appoggiato su un server di proprietà dell’hacker in cui la grafica somigliante a quella di un regolare ente associata ad un testo che comunica interventi tecnici o rischi per la propria sicurezza, portano l’utente a dare fiducia e fornire i propri dati riservati che saranno utilizzati in modo fraudolento per rubare somme di denaro, acquistare prodotti o utilizzare servizi online.
I messaggi di phishing più diffusi
Tra i messaggi di phishing più diffusi troviamo l’SMS che tramite un link invita a collegarsi a un sito clone di Poste Italiane. Son diversi i finti avvisi che si possono riceve, come: “Notifica postale! Sistema sicurezza web! Avviso urgente entrare nel sito per una comunicazione personale urgente” o “Verifica la tua identità, altrimenti il tuo account verrà sospeso, distinti saluti Postepay”. Nonostante riportino la scritta Postepay si tratta di una truffa e, una volta ricevuto il messaggio, occorre eliminare l’SMS e non cliccare in nessun caso sul link allegato al messaggio.
Le truffe su WhatsApp
Da anni ormai i phisher usufruiscono anche della chat di messaggistica istantanea più utilizzata al mondo: WhatsApp. Sono due le truffe che girano maggiormente su questa chat.
Il file Exel che ruba i dati bancari tramite WhatsApp
Si tratta di un messaggio WhatsApp con un file Excel allegato e mascherato con una finta comunicazione del governo. Il messaggio spinge l’utente ad aprire il file scaricando così anche un trojan che si introdurrà nel dispositivo e recupererà in poco tempo le informazioni sensibili dell’utente, come dati di accesso al conto online. In alcuni casi le comunicazioni arrivano dall’indiana National Defence Academy o dalla National Investigation Agency e i file a cui bisogna far attenzione riportano questi due nomi: NIA-selection-order-.xls e NDA-ranked-8th-toughest-College-in-the-world-to-get-into.xls.
La truffa del buono spesa su WhatsApp
Il messaggio dichiara che si potrebbe essere vincitori di un buono spesa invitando l’utente a cliccare sul link sottostante per partecipare al concorso. Una volta aperto il messaggio verrà attivato inconsapevolmente e automaticamente un abbonamento che in poco tempo prosciugherà il credito della scheda SIM del telefono. Il finto buono spesa in questione è un buono MediaWorld da 150 euro, ma ultimamente si parla anche di un buono spesa Ikea da 500 euro che, per ottenere il finto buono, invita l’utente a inserire nell’apposito campo del messaggio la propria mail e a rinviare il messaggio a 15 contatti in rubrica. Non esiste però nessun buono e inserire la mail personale creerà numerosi danni dalla vittima: pubblicità invasiva e/o furto dei dati riservati.
Come evitare che i messaggi svuotino il proprio conto
Per difendersi dagli attacchi di phishing bisogna imparare a non cliccare o aprire nulla senza prima aver verificato testo del messaggio e link.
Inoltre, le banche offrono l’opportunità di attivare i controlli di sicurezza attraverso l’invio di mail o SMS per ogni transazione che viene confermata sui conti online, offrendo all’utente un controllo efficiente del proprio conto.
Cosa fare se si è vittime di phishing
Se, nonostante le precauzioni l’utente è vittima di phishing gli basterà contattare il suo istituto di credito e fare denuncia.