L’ultima allerta truffe diramata dalla polizia postale – attraverso la pagina Facebook Una vita da social – riguarda il telefono, la voce: si rubano dati sensibili e riservati, necessari per commettere altri reati. “Fate attenzione a una nuova truffa – avvertono i detective online – che sfrutta la tecnica del vishing, cioè il carpire, con l’inganno, informazioni private attraverso servizi di telefonia”.
Alle vittime di turno, è il caso concreto portato dai poliziotti, “potrebbe giungere una chiamata telefonica (anche da un’utenza mobile) in cui un fantomatico ispettore della polizia postale, adducendo varie motivazioni, chiede il codice di sblocco della carta Postepay”. È una trappola, un’esca. Non bisogna dare alcuna indicazione. “Al telefono dati di questo tipo non vengono mai chiesti. Codici di sblocco e altre credenziali sono informazioni strettamente personali, che non devono essere rivelate a nessuno”.
A dare qualche spiegazione in più, necessaria per capire meglio i meccanismi fraudolenti e alzare il livello di guardia, è l’ingegner Federico Maggi, ricercatore presso Trend Micro Research, multinazionale leader nel settore di sicurezza informatica.
Gli autori usano telefoni fissi o telefoni mobili, la voce in diretta o messaggi preregistrati?
“Prima ancora che questa truffa approdasse in Italia, ho avuto modo di analizzare diverse telefonate di “vishing”. Per inoltrare le telefonate spesso i criminali si avvalgono di telefoni ‘virtuali’ e non tradizionali. Da questi raggiungono le vittime, indistintamente, sia che queste usino apparecchi fissi sia che abbiano cellulari. Nella maggior parte dei casi si tratta di telefonate pre-registrate fatte attraverso servizi VoIP di internet (voice over IP, ossia telefonia via Internet, la stessa tecnologia impiegata da Skype e simili, per intenderci). Ma ci sono anche chiamate in diretta, con operatori in carne e ossa”.
Che chiamate si ricevono?
Un esempio, ipotetico. Il truffatore attiva un account VoIP in stile Skype e fa partire chiamate automatiche che contattano i bersagli prefissati, ignari cittadini. Quando uno di loro risponde, il sistema riproduce una registrazione che comunica un qualche problema sul conto bancario o sulla carta di credito e suggerisce di telefonare a un certo numero per risolverlo. Facendolo, una voce automatica chiede di fornire i dati sensibili. E addio tranquillità.
Un altro possibile caso . Il raggiro inizia con una telefonata tradizionale, da parte di una finta finanziaria: “Crediamo che lei sia rimasta vittima di una truffa durante una transazione con la sua carta di credito. È questo il suo numero di carta di credito?”. Quando si sente che l’interlocutore conosce il numero di carta, si è portati a rispondere “Sì, è questo il numero“. Viene confermata anche la data di scadenza, nota al telefonista. E si è spinti a rivelare, quasi automaticamente, anche quello che dovrebbe essere taciuto: il codice di sicurezza della tessera.
I visher sono dilettanti o professionisti?
“I criminali informatici in genere non sono più dilettanti allo sbaraglio, forse lo erano venti anni fa. Salvo eccezioni isolate, gli attori dietro a questi reati fanno parte di un sistema gerarchico ben organizzato, che recluta persone in tutto il mondo attraverso piattaforme di comunicazione, come forum e chat. Alla fine di questa gerarchia ci sono dei sistemi automatici per veicolare le telefonate oppure degli ‘operai’ che offrono il proprio tempo per effettuare le telefonate dietro compenso. Non escludo, anche se non ne ho evidenza, che il compenso possa essere una percentuale su quanto frodato a ogni vittima”.
Quali sono le persone più rischio?
“Le persone più a rischio sono quelle che hanno discreta dimestichezza con l’utilizzo della telefonia come mezzo di interazione con i servizi tecnologici, ma poca conoscenza di questo tipo di truffe. Negli ultimi anni la fruizione di servizi bancari, assicurativi, utenze e simili passa sempre più frequentemente attraverso il canale telefonico.
Chi è abituato a rinnovare l’assicurazione o a effettuare transazioni finanziarie via telefono, troverà meno strane richieste analoghe da parte di un truffatore sotto mentite spoglie, specialmente se colto in un momento in cui è ‘di fretta’. Succede un po’ come nel phishing (la ‘pesca’ fraudolenta di dati altrui) via email: quando i servizi bancari sono approdati su internet, gli autori di raggiri hanno iniziato a inviare email di phishing e i più colpiti erano, e continuano ad essere, proprio i fruitori di tali servizi. Anche perché per queste vittime è normale utilizzare il mezzo telefonico per tali operazioni”.
Come ci si accorge che si tratta di chiamate con fini illeciti?
“Se si sta parlando con un operatore umano, le truffe telefoniche sono riconoscibili dopo pochi minuti di conversazione, perché l’interlocutore cercherà di impiegare tecniche di coercizione per indurre la vittima in uno stato di confusione, pressione e ansia, in modo da portarla a seguire le istruzioni, ‘purché chi c’è dall’altra parte mi lasci in pace’. Nelle chiamate pre-registrate ci si accorge abbastanza facilmente che la voce è meccanica (nel caso di sintetizzatori vocali) oppure ripetitiva. In questo caso la richiesta di dati e informazioni riservate è abbastanza esplicita e avviene subito, perché il criminale non ha molto tempo (generalmente il destinatario della telefonate riaggancia). Sono molto sospette, per esemplificare, promesse come ‘hai vinto questo premio, pronuncia il tuo nome e dati personali perché ti sia recapitato’ o richieste pressanti, del tipo ‘la tua assicurazione auto scadrà a mezzanotte, per rinnovarla automaticamente inserisci o pronuncia il tuo numero di carta di credito’”.
E se ci si casca, realizzandolo subito dopo di essere caduti in trappola, cosa va fatto?
“Innanzitutto è bene appuntarsi che cosa esattamente si è rivelato al criminale, da segnalare in una denuncia da presentare a polizia o carabinieri e da girare agli eventuali referenti (la banca di riferimento, le Poste…): il numero della carta di credito, l’indirizzo di casa, la targa dell’auto, le altre informazioni sensibili di cui si è appena perso il controllo. Poi, come raccomandano le autorità e le forze di polizia, bisogna prendere nota e riferire orario, contenuto della telefonata e numero di telefono, anche se potrebbe essere poco attendibile, poiché può essere facilmente falsificato”.
Indagini per individuare e perseguire chi pratica il vishing, a posteriori, sono possibili ed efficaci?
“Sono difficili. Non solo è complicato tracciare una telefonata tradizionale, ma spesso non si ha nulla in mano da cui partire. Il miglior modo per prevenire questo tipo di minacce è l’educazione, che porta alla consapevolezza e a comportamenti prudenti”.