Sono sempre frequenti le frodi via e-mail e i messaggi ingannevoli inducendo molte persone a rilasciare inconsapevolmente i propri dati personali, a chi, non si sa con esattezza.
Riportiamo un caso recente di una signora di 69 anni che all’arrivo di un messaggio personale sul proprio smartphone, viene invitata con destrezza, a rilasciare alcune informazioni personali per poi essere contattata tramite una telefonata da un impiegato della propria banca.
Stiamo parlando di una vera azione di phishing, studiata molto bene e, purtroppo, con un notevole successo dati i risultati degli ultimi mesi.
Il phishing e il furto dei dati personali
Prima di proseguire con la testimonianza della malcapitata, specifico che il phishing è una pratica illegale messa in atto da malintenzionati che contattano gli utenti tramite mail, SMS o anche telefonate, mirata al furto dei dati personali con lo scopo di attirare le vittime per ottenere le loro credenziali.
Il messaggio inviato alla persona sembra provenire da un mittente affidabile, in questo caso dalla propria banca.
Se l’inganno riesce, ed in questo caso è riuscito perfettamente, la vittima viene persuasa a fornire informazioni riservate dirottandola spesso su un sito web truffa.
Il vecchio sms, un trend ritornato in auge
Da diverso tempo, ho notato come i messaggi via sms sono stati sempre più ripresi per attività di marketing o assistenza clienti.
Non è forse un caso quindi che i genietti del phishing abbiano adottato questo sistema per ingannare le persone ed uno specifico target!
Potrebbe essere che negli ultimi anni, data l’invadenza sempre più prepotente della comunicazione veloce attraverso i vari WhatsApp, Messenger, Instagram, Twitter… (per citarne alcuni), gli abili truffatori abbiano ritenuto l’SMS, il classico messaggio telefonico, più valevole, importante e spendibile per attirare un target specifico di utenza.
La testimonianza della vittima: come mi hanno svuotato il conto corrente con un consenso
Per questioni di privacy, ovviamente, non rivelo il nome della banca in questione poiché l’accaduto ha fatto anche emergere un disservizio notevole da parte della Banca stessa non tutelando il proprio cliente ma colpevolizzandolo: “signora, è stata Lei ad accettare il messaggio”, come se la vittima avesse dovuto sapere esattamente tutti i passaggi fraudolenti delle azioni digitali.
Le banche non possono pretendere che i clienti siano esperti di hackeraggio o abbiano virtù divinatorie e tantomento chiedere malizie o chissà quali prudenze informatiche.
❗️ I truffatori scelgono bene le proprie vittime, specialmente se over age e un po’ fuori dai nativi digitali sempre attenti, pronti e velocissimi a capire i più piccoli cambiamenti comunicativi.
Per farvi capire esattamente come i dati personali siano stati raccolti per ricevere le credenziali e violare il conto corrente della vittima, riporto per punti i passaggi delle azioni effettuate dal momento dell’arrivo del primo messaggio.
- ricezione via sms nel proprio smartphone di un testo che dichiara di essere un operatore della banca il quale richiede di compilare un form per evitare la sospensioni dell’App per le operazioni di home banking, con link annesso al testo dove cliccare
- compilazione del form dal link ricevuto e dati personali inviati
- telefonata gentile e amichevole del finto operatore della banca che fa ripetere tutti i dati per rendere ancora più credibile la conversazione, fidelizzando sempre di più la vittima
- ricezione di un secondo messaggio di avvenuto sblocco con richiesta di conferma del codice riportato nel testo
- conferma del codice ricevuto via sms
- ricezione del primo messaggio di bonifico da 1.500€ effettuato con successo
Succedono altri messaggi di avvenuto bonifico di 1500€ a un nome finto, fino a quando la vittima non chiama la propria banca facendo presente l’accaduto e chiedendo spiegazioni.
Fase finale, vera, dell’operazione da parte della banca è il blocco dell’homebanking.
Come sono arrivati i truffatori ad ottenere tutte le informazioni necessarie per attivare questo tipo di truffa?
É stata hackerata la banca? Ha segnalato il data breach al Garante? Non dovrebbe avvertire anche i clienti?
Risponde a questa domanda Simona Bia DPO (Data Protection Officer ) UNI 11697:2017 Cepas-Accredia Privacy Consulting GDPR presso StudioBia di Parma (PR):
La descrizione degli eventi, la proporzione, il continuo ripetersi di questi episodi, fanno pensare che gli archivi delle banche coinvolte, contenenti le informazioni dei clienti, siano state hackerate.
Sarebbe interessante conoscere se data breach sono stati segnalati al Garante, come obbligatorio quando sono a rischio le libertà, i diritti e la sicurezza degli interessati.
In quest’ultimo caso, senza ingiustificato ritardo, la banca, Titolare del trattamento, è obbligata ad avvertire i clienti. Lo ha fatto?
Quante truffe si sarebbero evitate se la comunicazione ci fosse stata e fosse stata ‘senza ingiustificato ritardo’ come prevede il GDPR.
Simona Bia / DPO, Privacy consulting
Simona Bia – Data Protection Officer / UNI 11697:2017 Cepas-Accredia Privacy Consulting GDPR, esperta e consulente di Privacy e sicurezza dei dati.
Vuoi sapere quanto costa l’adeguamento GDPR o partecipare ad uno dei corsi online per ricevere la certificazione?
Chiedi un preventivo cliccando qui 👇