Ecco la storia presa da La Voce di Venezia online dove si legge di una una commessa veneziana che perde migliaia di euro col phishing e la banca non risponde.
Secondo la storia riportata dalla Voce di Venezia e di cui trovi il link negli approfondimenti, è emblematica per capire come funzioni il phishing nella realtà.
Si sente sempre parlare del phishing ma gli episodi e le esperienze reali sono difficili da trovare perché né la banca né il cliente truffato ci tengono a farlo sapere per ovvi motivi.
In questo caso la cosa è in mano agli avvocati perché, da quello che sembra, ci sono gravi mancanze negli apparati di sicurezza della Banca che hanno fatto in modo che il phishing potesse funzionare.
La storia della commessa vittima del phishing
Vediamo i fatti come raccontato dalla Voce di Venezia. Commenterò questi fatti dando per scontato che siano veri perché, se non lo fossero, le cose cambierebbero, e di molto.
La donna venerdì 13 novembre 2020, alle 16.49, riceve un sms sul cellulare in cui la si informa che stanno sospendendo i servizi sulle utenze on-line per mancato aggiornamento e si allega un link che riporta al sito dell’istituto, in tutto identico a quello originale, invitando ad accedervi.
Questo è un classico caso di smishing, cioè di phishing che parte da un SMS e non da un’email e, come tutti, contiene un link che porta a un sito falso fatto per somigliare a quello della banca. Probabilmente lei ha inserito i suoi dati nel sito falso della banca, consegnandoli così nelle mani dei delinquenti.
arriva un altro messaggio dove si spiega che ignoti hanno tentato di effettuare un accesso sull’Home Banking del suo conto corrente e le si chiede di aggiornare i dati.
Anche questo SMS è stato mandato dai delinquenti che così mirano a ottenere altri dati. Qui però, secondo quello che racconta il giornale, le cose si fanno un po’ confusionarie. Vediamo.
La cliente, senza comunicare in alcun modo le sue credenziali di accesso, tenta più volte di accedere alla sua Home Banking con i propri dati tramite l’App della banca che però è bloccata.
Sempre più preoccupata, apre nuovamente il link, che ora le chiede di verificare i dati di sicurezza personali. Solo allora inserisce le sue credenziali di accesso nel tentativo di sbloccare l’App, che effettivamente ritorna a funzionare.
La faccenda diventa oscura perché viene detto che nel primo tentativo lei non ha dato le sue credenziali di accesso ma è strano perché sono quelle a cui mirano tutti questi tentativi.
Altro punto oscuro è il “blocco” dell’app della banca che potrebbe rilevarsi solo, secondo me, nel caso in cui la ragazza abbia consegnato le sue credenziali di accesso ai delinquenti e questi le abbiano cambiate impedendo in questo modo l’accesso anche dall’app.
Sinceramente escludo che i criminali possano avere “hackerato” anche l’app della banca perché questo richiede competenze che vanno ben oltre gli attacchi phishing normali. Non dico che non sia fattibile – lo è di sicuro – ma non è alla portata di tutti.
Dopo cosa succede?
Successivamente, sulla schermata le appare l’avviso che sarebbe stata chiamata da un operatore per la verifica dei dati inseriti.
La correntista infatti viene contattata dal numero verde associato al Servizio Clienti della banca, attraverso il quale le viene chiesta la conferma dei dati personali (nome, cognome, data di nascita e codice fiscale) e le viene fornito un codice sul telefono che poi la vittima ri-comunica, per verificare che tutto sia a posto.
Uno dei criminali l’ha chiamata falsificando il numero della banca – cosa possibile e neanche troppo complicata – dove:
- hanno chiesto conferma di tutti i suoi dati personali e delle credenziali di accesso di sicuro
- hanno fatto un accesso alla banca e si sono fatti dati il codice SMS che le è arrivato sul telefono
In questo modo hanno avuto accesso al conto della ragazza e lo hanno ripulito facendo, come dicono, 7 bonifici dal conto per un totale di 2.900 euro.
Sempre nell’articolo si dice che lei abbia contattato la banca ricevendo assistenza dopo 22 minuti di attesa per il blocco del conto.
L’articolo continua dicendo che la ragazza si è recata subito in banca per disconoscere i bonifici, la banca glieli ha riaccreditati ma poi se li è ripresi dicendo che la colpa era della ragazza e che, non essendoci clonazione, loro non potevano farci nulla.
La clonazione da diritto al rimborso e il phishing no?
In sostanza si evince che se c’è clonazione della carta la banca risponde, ma se non c’è la colpa è del cliente.
Non sono un esperto di queste tematiche e invito qualcuno più esperto di me a spiegare come stanno le cose nella realtà.
Perché in questo caso, da quello che leggo, ci potrebbe essere un’oggettiva colpa della banca a livello di sistemi di sicurezza oltre a una certa ingenuità della cliente, questo va detto, ma se la banca per prima non mette in atto tutte le procedure di sicurezza atte a evitare questi episodi, è lei per prima che deve rispondere.
Nella mia esperienza personale, ogni bonifico deve essere confermato con un codice personale mentre qui ne sono stati fatti 7 di seguito senza conferma ogni volta, o almeno così pare.
Conclusioni
Da una parte non posso che sottolineare l’ingenuità della ragazza.
Quando parlo di mancata coscienza del problema mi riferisco proprio a questo. Tutti sentono parlare del phishing, delle truffe e dei virus ma pensano sempre che succeda solo agli altri e quindi non si informano e non cercano di approfondire, cosa che li rende estremamente vulnerabili.
Se quella ragazza avesse letto il Manuale di Autodifesa Digitale
o anche se fosse stata una lettrice di questo blog,
non sarebbe sicuramente caduta nel tranello.
Dall’altra, se le informazioni sono vere, la banca ha avuto delle falle di sicurezza incredibili e chiaramente di questo dovrà rispondere ma, non conoscendo la storia e i fatti completi, non sono in grado di dire dove stia la verità.
Approfondimenti
- articolo completo della Voce di Venezia
- acquista il Manuale di Autodifesa Digitale e non cadere nel phishing
