Si sente spesso parlare di "truffe online", e ci si aspetta sempre che sia difficile cascarci, che le richieste via mail siano sempre facilmente identificabili, e che nessuno sano di mente ci potrebbe mai cascare, ma non è così.
Tant'è che oggi voglio raccontarvi di tre truffe che mi hanno coinvolto direttamente: una è andata male, una a metà e da una terza mi sono salvato per un soffio.
Non farò nomi per motivi di privacy, ma quello che conta sono le dinamiche. Oggi tutti sono esposti a questi rischi, anche chi pensa di essere al sicuro. Io stesso, che da anni parlo di sicurezza digitale, mi sono trovato a dover gestire situazioni spiacevoli.
E così, ho deciso di scrivere questo articolo, e di svilupparne anche un video, perché credo che oggi sia importante sensibilizzare, continuamente, sui rischi a cui tutti, ma proprio tutti, sono esposti. Ovviamente il punto non è dire "se hanno fregato me possono fregare tutti", anche perché, come avrò modo di raccontarvi, non è così; ma piuttosto cercare di chiarire alcune dinamiche, e certi dubbi ad esse annesse che, sono certo, potrebbero scaturire in chiunque, soprattutto in chi è meno attento e informato.
La CEO Fraud: la frode del CEO
La prima vicenda riguarda la classica CEO Fraud, una frode che mi ha colpito qualche mese fa. Tutto è iniziato con una mail inviata a una persona all’interno dell’azienda che si occupa dei pagamenti. Il tono della mail era autoritario e urgente, come sempre succede in questi casi, e richiedeva di effettuare un bonifico a un tal tizio per una ipotetica consulenza già svolta. La mail includeva anche dettagli tecnici, come la richiesta di inoltrare la prova del pagamento, ovvero dettagli che di solito servono a rendere il tutto più credibile e giustificato.
Il problema è che l’indirizzo email del mittente non apparteneva alla nostra azienda, era un indirizzo chiaramente fasullo, nello stile di "andreaferrario@pincopallino.com". Insomma, c'era un segnale chiaro, che è comunque passato in sordina agli occhi di chi quella mail l'ha ricevuta.
Tant'è che la frode è riuscita, e il pagamento è stato effettuato. Ma questo, in ogni caso, non ha comportato la scoperta della frode. Quello che mi ha allarmato, e che ha allarmato la persona che gestiva i pagamenti, è stata una richiesta di spiegazioni sulla richiesta che aveva ricevuto in merito ad un secondo bonifico.
Ovvero ad un secondo tentativo di frode, concatenato al primo, ad opera di chi, evidentemente, pensava di poter perpetrare nuovamente la truffa.
Ora, so cosa starete pensando: che la colpa è mia, poiché avevo messo in un ruolo delicato una persona non adeguatamente formata, senza prendere le giuste precauzioni. Su questo, sinceramente, potrei anche essere d’accordo, se non fosse che la formazioni aziendale era stata effettuata, sia in merito alle frodi, che alla sicurezza informatica in generale, tra password, autenticazioni a due fattori e mail truffa. Nonostante tutto questo, è successo ugualmente.
Ovviamente, come dovreste fare tutti in questi casi, ho subito sporto denuncia, ma con scarsi risultati. I criminali usano conti di appoggio, spesso intestati a persone inconsapevoli o vittime di furti di identità. I soldi transitano rapidamente e finiscono all’estero e recuperarli è impossibile.
Quindi "fine della storia", ma si torna a casa con una lezione importante: la responsabilità spesso non è degli strumenti digitali, ma delle persone. Anche con formazione e software avanzati, se chi gestisce i conti non è attento, i rischi restano altissimi. Il consiglio è valutare attentamente le persone che ricoprono ruoli sensibili, oltre a garantire formazione e strumenti di sicurezza.
Dati cambiati: il bonifico manipolato
Il secondo episodio mi ha coinvolto direttamente e, devo ammetterlo, ancora non mi è chiaro come sia stato possibile.
Dovevo pagare un collaboratore con la solita scadenza mensile. Dopo un giorno, il collaboratore mi chiede se ci sono stati problemi, e contemporaneamente la banca mi segnala che un bonifico in uscita era diretto a un conto segnalato come fraudolento.
Strano, penso. Avviso il collaboratore, che mi mostra il suo vero IBAN: diverso da quello che io avevo registrato. Com’è possibile?
Indagando, scopro che su una piattaforma che raccoglieva quei dati i suoi estremi bancari erano stati modificati. Non era stato toccato nient’altro: solo l’IBAN. Una modifica chirurgica, ma sufficiente a dirottare un pagamento consistente.
Avvio subito la procedura di richiamo del bonifico. Ma qui emerge un problema enorme: in Italia, quando inserisci un bonifico, il sistema non verifica la corrispondenza tra intestatario e conto. Basta un IBAN valido e il denaro parte, anche se il nome non coincide. E per richiamare i soldi… serve l’accettazione del destinatario. Avete capito bene: per recuperare una somma inviata a un truffatore, devi sperare che il truffatore “accetti” il richiamo.
Solo grazie alla denuncia e alla segnalazione alle autorità, la banca ha potuto recuperare l’importo. Diversamente, senza denuncia, la questione sarebbe rimasta in un limbo.
Morale della storia: a volte non serve chissà quale mossa da hacker cinematografici per fare danni. I criminali informatici sono furbi, sono subdoli, e si muovono anche con piccole modifiche, talvolta invisibili. Una lezione che ci ricorda anche un punto di cui si parla spesso e che, a mio avviso, è sempre bene sottolineare: non sottovalutate mai la sicurezza delle vostre password e usate passkey e autenticazione a due fattori per tenerle al sicuro.
La frode della banca: phishing telefonico e ingegneria sociale
Ora veniamo al terzo tentativo di frode, che per altro mi ha riguardato da vicino, trattandosi di una frode ai danni di un mio conto bancario personale su cui, per altro, gestisco il mutuo.
Qualche settimana fa mi contatta un numero che, a quanto pare, risulta connesso alla mia banca. Dall'altro capo un operatore mi comunica che il conto di cui sopra è soggetto ad un tentativo di truffa connesso al gioco d'azzardo, dalle parti di Bari, e che è necessario un controllo di sicurezza che blocchi il tutto.
L'operatore è preparato. Mi chiama per nome e cognome, identifica correttamente il conto e la banca, e dispone addirittura di una parte del mio codice PIN. Per altro, andandomi a informare, ho poi scoperto che una procedura di controllo per movimenti anomali su di un conto è qualcosa che una banca può effettivamente fare, e che è più che plausibile se poi i movimenti non corrispondono alla posizione registrata del cliente. Per cui l'idea che la truffa fosse in atto a Bari ha reso, in questo senso, l'approccio al telefono ancor più credibile.
Le domande e le risposte si sono susseguite e, ammetto, alcune di queste mi hanno lasciato un attimo perplesso. Ma, come potrebbe succedere anche a voi, al momento della chiamata ero impegnato in altro, stavo lavorando, e lì per lì non mi sono realmente soffermato sui piccoli indizi sospetti di quella telefonata.
Al che, mentre il finto operatore continua a darmi informazioni corrette, per quanto "strane", tipo anche il modello dello smartphone da cui stavo rispondendo (perché tu banca dovresti saperlo, e perché dovrebbe essere determinante?), mi arriva un SMS, anche questo a nome della mia banca, con la richiesta di completare il mio PIN, per innescare una procedura che avrebbe bloccato la presunta frode per cui mi avevano chiamato.
Riflettendoci poi, ho semplicemente capito che il "gioco" di questa truffa era quello di modificare il dispositivo di autenticazione connesso all'accesso al mio conto, nel mio caso lo smartphone, connesso al conto. Nell'idea del truffatore, utilizzando il PIN che avrei fornito erroneamente grazie al fino SMS bancario, si sarebbe potuto cambiare il dispositivo associato al conto, dando così al truffatore il completo accesso.
Considerata la richiesta strana, la fretta e anche il tono "minaccioso" dell'operatore, ho chiuso la chiamata dicendo che ci avrei pensato da solo, e mi sono affrettato a chiamare la banca autonomamente, scoprendo quindi che era stato un tentativo di truffa.
Ancora oggi mi è difficile capire come i criminali potessero avere tutti quei dati, vista l'attenzione che ripongo nella mia sicurezza informatica, ma questo non cambia di molto la morale che voglio proporvi, ovvero: la quantità di informazioni a cui entrano in possesso i criminali è enorme, e non sempre è un nostro errore, occorre quindi ragionare lucidamente quando si ricevono richieste del genere.
Il fatto che la persona dall’altra parte di un telefono sappia cose di noi, non significa che sia una fonte ufficiale o è chi dice veramente di essere.
Quindi, se qualcuno vi chiama, che sia la banca, che sia la polizia, un operatore energetico, o qualsiasi altro ente che potrebbe farvi una richiesta strana, o sospetta, fate l'unica cosa sensata: attaccate il telefono.
Non cliccate su nessun link, non comunicate nulla. Mettete giù e richiamate, perché è l'unico modo di essere al sicuro.
Questo è il sunto delle mie 3 disavventure. Tre truffe diverse, tre modalità differenti, ma un comune denominatore: l’ingegneria sociale.
Non importa quanta tecnologia usiamo, quanti antivirus, quanti firewall: se il bersaglio è la nostra fiducia, l’attacco funziona. Formazione, procedure, attenzione: tutto questo serve. Ma la verità è che nessuno è immune. Nemmeno chi lavora da anni in questo campo.
E forse la lezione più amara è proprio questa: la sicurezza non è mai definitiva, è un esercizio quotidiano di diffidenza e verifica.