Vishing, smishing e phishing…

Comune denominatore dei cybercriminali che praticano vishingsmishing phishing è la volontà di ottenere i dati personali delle vittime per poterli utilzzare per rubare denaro.

Vishing: la truffa al telefono!

Tramite tale tipologia di truffa vengono sottratti dati e carte di credito a migliaia di clienti.

Ma di cosa parliamo? Il Vishing nasce dall’unione di due parole inglesi, voice (voce) e phishing (truffa) ed i tentativi di truffa avvengono tramite telefono dove ci chiedono dati personali e protetti.

Come funziona il vishing?

Fantomatici call center del nostro ipotetico istituto di credito ci avvertono che una nostra carta di credito è stata oggetto di truffa o di un tentativo di truffa. Pertanto, il telefonista truffatore ci richiede diverse informazioni personali, ad esempio il pin della carta per cercare di proteggere i dati del malcapitato e verificare eventuali prelievi sospetti.

La chiamata vocale crea un senso di urgenza per l’utente che, per questa ragione, è indotto a fornire informazioni riservate.

Peraltro, le vittime sono anche indotte a credere che si tratti del proprio istituto proprio dalla circostanza che chi chiama conosce bene il numero della carta che dice di voler controllare. Numero che, attraverso sofisticate tecniche di social engineering, è già stato carpito dai delinquenti.

Altre volte ci esasperano proponendoci contratti super vantaggiosi, facendo leva sul risparmio, quando in realtà si tratta di contratti molto onerosi (i costi aggiuntivi non ci vengono mai riferiiti).

Altre volte, ancora, attivano contratti carpendo il consenso a nostra insaputa.

Purtroppo, è anche capitato che importanti società di telefonia affidassero mandati a società “terze” al fine di falsare i contratti.
Ciò avviene in modo molto subdolo: il truffatore al telefono pone alcune semplici domande al cliente (solitamente domande personali e che prevedono un “si” come risposta, ad esempio: “sto parlando con la signora Maria Furfaro?“); così facendo, quando il cliente risponde quel fatidico “sì”, l’operatore telefonico lo registra e lo usa in un secondo momento per la stipulazione del contratto telefonico.

Per recedere, il modo migliore è quello di richiedere copia della registrazione vocale alla società che risulta aver stipulato il contratto con noi. Se l’azienda non dovesse accogliere la richiesta dell’utente che chiede copia della registrazione con cui ha effettuato un ordine telefonico, commetterebbe un illecito e ci si potrebbe rivolgere al Garante della Privacy per ottenere soddisfazione.

Chiaramente, nella stragrande maggioranza dei casi, la società, sapendo di essere nel torto o non avendo affatto quel dato registrato, non potrà che accettare la rescissione del contratto.

In altri casi, con il vishing si spingono addirittura sino al furto d’identità.

Ma oggi attacco informatico avviene anche attraverso lo ‘smishing’, ovvero il phishing che funziona via sms.
La parola smishing deriva dall’unione di “SMS”, ovvero i messaggi di testo che si inviano tramite cellulare, e “phishing”, cioè truffa. 
In questo caso, i cybercriminali inviano messaggi che cercano di ingannare il destinatario inducendolo a far aprire un allegato pieno di malware o ad aprire un link dannoso.

Proprio come avviene per le e-mail.

Solo che questa volta il messaggio arriverà sul nostro smartphone e, magari, ci verrà chiesto, anche con la promessa di uno sconto o di una promozione, di contattare un certo numero di telefono o di collegarci ad un certo sito. Si tratta quasi sempre di un sito clone, simile a quello della banca.

Il problema risiede nel fatto che al cellulare siamo meno diffidenti e che, sebbene la tecnologia mobile iOS della Apple abbia una buona reputazione sulla sicurezza, non esiste un sistema operativo mobile che possa proteggere da solo dagli attacchi come il phishing.

Sovente, utilizziamo il cellulare mentre siamo in movimento e questo è un ulteriore fattore di rischio: è molto più semplice sbagliare quando si è distratti!
Magari rispondiamo senza pensarci o scarichiamo link truffaldini per riscattare buoni inesistenti.

Il phishing cos’è?

E’ un illecito sia civile che penale. Consiste nella tecnica fraudolenta di “social engineering” mirante a carpire informazioni personali e sensibili quali dati anagrafici e password per agire sui conti correnti online, codici delle carte di credito e quant’altro.

Solitamente, tramite l’invio di e-mail a catena ad un elevato numero di utenti sconosciuti contenenti messaggi, informazioni e immagini formulati per influenzare la psicologia del destinatario, si induce la vittima a collegarsi a pagine web solo apparentemente provenienti da enti, istituzioni o società reali.

Non solo.
Il destinatario della posta é sollecitato a inserire le proprie credenziali per l’accesso ad aree riservate, soprattutto all’home banking, cliccando sui link approntati ad hoc dallo stesso phisher, oppure reindirizzato, attraverso i virus che il phisher ha infettato nel computer della vittima per alterare la gestione degli indirizzi Ip, a un dominio web fasullo che capterà le chiavi di accesso bancarie del malcapitato, provvedendo a svuotargli il conto.

La condotta del phisher configura, dal punto di vista dell’illecito civile, una responsabilità extracontrattuale che obbliga al risarcimento dei danni patrimoniali e non cagionati alle vittime.

Vi è, ad esempio, la responsabilità dell’istituto di credito, obbligato al risarcimento dei danni patiti dai correntisti, sul presupposto di un’inadeguatezza delle “misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico” tese ad “evitare prelievi fraudolenti (c.d. phishing)” (Trib. Palermo n. 81/2010; Trib. Siracusa, 15.3.2012), ovvero la responsabilità del gestore telefonico, sul presupposto che, in tema di illeciti bancari consumati attraverso la rete, gravava sullo stesso il compito di riscontrare eventuali attività sospette avvertendo tempestivamente l’utente (Trib. Benevento, n. 1506/2009).

La responsabilità sul piano civile in capo al phisher viene accentuata, inoltre, da ulteriori molteplici violazioni sanzionate dalla disciplina sulla “privacy”.

In ambito penale, invece, si potrà avere, a seconda dei casi, il reato di truffa, trattamento illecito di dati personali, frode informatica, accesso abusivo ad un sistema informatico o telematico, utilizzo indebito di carte di credito e di pagamento, danneggiamento di informazioni e sistemi informatici o telematici, falsa dichiarazione o attestazione sull’identità o su qualità personali proprie o di altri, sostituzione di persona ecc.

Data l’assenza di una disciplina organica della materia, ci si può affidare alla tutela offerta dalle norme civilistiche, penalistiche e dalle leggi speciali.
In alternativa, inoltre, l’utente può rivolgersi all’Arbitro Bancario Finanziario (ABF), organismo introdotto dall’art. 128-bis della l. n. 262/2005 (“T.U. Bancario”), per la risoluzione stragiudiziale delle controversie tra i clienti, le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari.
Il ricorso all’ABF, ovviamente, non preclude l’accesso all’ordinario giudizio civile, atteso che le decisioni dello stesso non sono vincolanti.

Comunque, chi riceve queste e-mail e pensa di essere vittima del phishing, oltre a non cliccare sui link, deve rivolgersi alla polizia postale riferendo i fatti e indicando l’intestazione del messaggio che si ha ricevuto così da attivare tutti i controlli del caso e far scattare gli opportuni provvedimenti.

Del phishing vi ho già parlato in modo più approfondito in questo articolo a cui vi rimando:

http://www.avvmariafurfaro.it/2019/05/01/cose-il-phishing-e-come-difendersi/

Quindi, cosa fare se siamo vittime?

Come sempre, in questi casi viene in soccorso la Polizia Postale che consiglia di «diffidare di numeri di telefono che non conosciamo e attraverso i quali abbiamo ricevuto richieste riguardanti dati personali, bancari o codici di sblocco».

Peraltro, come regola generale, non dobbiamo mai fornire le credenziali di accesso ai nostri servizi bancari online. Anzi, in caso di richieste del genere, dobbiamo segnalarlo immediatamente alla Polizia Postale, anche per ricevere ulteriori consigli, specificando, anche, quali sono i dati in possesso dei malviventi in modo da poterci cautelare in seguito a possibili truffe.

Inoltre, se si tratta di vishing, dobbiamo prendere nota della società che sta chiamando e richiamare subito dopo, utilizzando i canali ufficiali (ovvero dai numeri presenti dal loro sito Web ecc.).

Ovviamente, non dobbiamo mai aprire e scaricare i link che ci hanno inoltrato.

Attenzione, Amici!

Avv. Maria Furfaro

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome qui