Truffe bancarie: ora i pirati usano lo spoofing sul telefono

Ott 28, 2020 Marco Schiaffino Attacchi, In evidenza, News, Phishing, RSS, Scenario 0

La strategia prevede l’uso di strumenti per alterare il numero da cui proviene la chiamata e attacchi di phishing per rendere la truffa credibile.

Che i pirati informatici abbiano una passione per i servizi di home banking è cosa nota. La nuova tecnica messa a punto dai cyber criminali, però, non prevede l’uso di malware o complicati attacchi di hacking, ma il semplice utilizzo del telefono per “convincere” le vittime a regalargli i loro soldi.

A spiegare nei dettagli il funzionamento di questa truffa sono i ricercatori di Malwarebytes Labs, che in un post sul blog ufficiale della società di sicurezza ne illustrano le caratteristiche.

La tecnica prevede, in pratica, una semplice telefonata in cui i pirati informatici si spacciano per impiegati della banca in cui la vittima ha il suo conto corrente.

Per dare credibilità alla loro messa in scena, utilizzano strumenti di spoofing del numero telefonico, cioè software utilizzabili su servizi di telefonia VoIP che permettono di far visualizzare un falso numero di telefono (in questo caso quello della banca) sul telefono del destinatario della chiamata.

L’argomento della conversazione è semplice: i truffatori spiegano alla vittima che l’istituto di credito ha rilevato dei movimenti sospetti sul suo conto corrente bancario e che temono possa trattarsi di un attacco hacker che consentirebbe ai pirati di rubargli tutto il denaro conservato al suo interno.

Suggeriscono, di conseguenza, di spostare il denaro in un “conto sicuro” pensato proprio per proteggere i clienti da rischi come questi, avvisando anche che le somme trasferite “potrebbero non essere disponibili per qualche giorno”.

Si tratta ovviamente di una montatura e il cosiddetto “conto sicuro” non è altro che un conto corrente intestato agli stessi truffatori.

Oltre all’utilizzo di un falso numero di telefono, i cyber criminali usano altri stratagemmi per convincere le vittime di star parlando effettivamente con un impiegato della loro banca.

Secondo le informazioni raccolte dagli esperti di Malwarebytes, sarebbero infatti in grado di fornire informazioni come gli esatti importi presenti sui conti, o gli ultimi movimenti disposti attraverso i servizi di home banking.

Nel report viene spiegato che queste informazioni possono essere state raccolte in vari modi: sia grazie alla complicità di una “talpa” nella banca stessa, sia attraverso attacchi di phishing che hanno permesso ai pirati di accedere al conto della vittima.

L’ipotesi del phishing, spiegano gli autori del rapporto, è particolarmente credibile. La maggior parte dei servizi di home banking, infatti, consente l’accesso a informazioni generiche (come il saldo o i movimenti) con il semplice utilizzo di username e password, mentre richiede ulteriori fattori di autenticazione solo per disporre i movimenti.

Inutile dire che, nel caso la truffa vada a segno, il denaro trasferito sparirà in un lampo dal conto su cui è stato versato e la vittima, nel caso la sua banca non preveda un’assicurazione contro le truffe di questo tipo, resterà al verde.

Condividi l'articolo