Piemonte: phishing e sim-swap, nuove frodi informatiche

Nei giorni scorsi, il Commissariato Borgo Po ha ricevuto due denunce riconducibili a questi fenomeni.

Nel primo caso, la vittima riceve un SMS, privo di numero, da un mittente che rimanda a un istituto bancario, il quale la informa che sono avvenuti accessi anomali al conto corrente e per questo indica un link al quale collegarsi, al fine di verificare i dati. Il malcapitato segue il suggerimento e accede al link inserendo dati personali e pin di sicurezza. Poco dopo, la vittima viene contattata da un numero verde, l’operatore avvisa che sono stati effettuati 5 bonifici da 1500 euro. A questo punto, l’operatore stesso invita il cliente, qualora non ne riconosca la paternità, a bloccarli. In tal senso utente e operatore iniziano insieme la procedura nella quale seguono una serie di telefonate nel corso delle quali la persona truffata, per annullare i bonifici, fornisce i propri codici via SMS. La mattina successiva andando in banca scopre di essere vittima di una truffa.

Powered by

In un secondo caso, invece, la potenziale vittima non è caduta nel tranello. Nonostante avesse ricevuto prima un messaggio, dalla “banca” che invitava a completare una procedura di sicurezza dell’app per l’home banking, e poi una telefonata che aveva la stessa finalità, il destinatario non si fida. Contattato l’istituto di credito, l’interessato scopre di aver evitato una truffa nei suoi confronti.   

Phishing e simswap sono tecniche informatiche fraudolente applicate alla commissione di varie tipologie di crimini tra cui in primis la truffa, la frode informatica e l’indebito utilizzo di carte di pagamento.

Il phishing si concretizza attraverso messaggi di posta elettronica ingannevoli provenienti solo in apparenza da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri dati riservati di accesso al servizio; per rassicurare l'utente è indicato un link che rimanda solo in apparenza al sito web dell'istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega è stato allestito ad hoc con una configurazione grafica analoga a quella del sito originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali che potranno così effettuare delle transazioni illecite dal sistema di home banking del soggetto ingannato.

Per quanto attiene il sim swap, si tratta di un’avanzata tipologia di frode informatica articolata in molteplici passaggi. Una volta individuata la vittima si procede all’acquisizione dei suo dati e delle credenziali di home banking tramite tecniche di phishing mirato (c.d “spear phishing”). In parallelo il truffatore, anche tramite dealer compiacenti, realizza una dissociazione tra il numero telefonico e la sim del truffato associando il primo ad una sim nella propria disponibilità. Questa procedura consente di superare le tutele dell’autenticazione a due fattori dell’home banking aprendo ancora una volta la possibilità di effettuare transazioni illecite. Trattandosi di tecniche prodromiche alla commissione di reati complessi, phishing e sim swap fungono da comune denominatore di numerose condotte delittuose. Circa 60 i casi già denunciati nel territorio Piemontese per l’annualità 2020.