Cos'è e come difendersi dal Vishing, ​la cybertruffa che squilla con il telefono

Stefano Barricelli

Una frode informatica da oltre un milione di euro è stata scoperta dalla polizia Postale che ha arrestato sei persone accusate di far parte di un'associazione a delinquere finalizzata alla sostituzione di persona, al furto aggravato e all'indebito utilizzo di carte di pagamento elettronico. I sei, finiti in carcere su disposizione del gip di Perugia, avevano come base logistica l'hinterland napoletano, ma operavano su tutto il territorio nazionale.

Le indagini sono state avviate nel luglio 2018 a seguito delle segnalazioni presentate da alcuni Istituti di Credito. Le attività investigative, coordinate dalla procura di Perugia, sono state eseguite utilizzando anche attività tecniche e sistemi di tracciamento elettronico, così da consentire di accertare l'esistenza di un'associazione per delinquere operante indistintamente su tutto il territorio nazionale, composta almeno 10 persone.

Il colpo dei 'telefonisti'

L'organizzazione criminale era ben strutturata e le mosse pianificate. Come prima cosa venivano compiuti furti della corrispondenza nei centri di smistamento di Poste Italiane nel Centro-Nord Italia. All'interno dei centri venivano individuati i dispacci contenenti le carte di credito o debito, si parla di centinaia di carte, spediti da parte degli istituti di credito. Presi i titoli, entrava in gioco un esperto gruppo di "telefonisti" che metteva in atto la tecnica del Vishing. Il gruppo dei "telefonisti" chiamava i vari Istituti emittenti delle carte e, presentandosi come maresciallo o ispettore delle forze dell'ordine, affermava di aver appena sequestrato un consistente numero di carte di credito rinvenute in possesso a malviventi.

Con fare perentorio e con la scusa di riconsegnare i titoli in sequestro, si faceva indicare il numero di telefono dei clienti. A questa seguiva una complessa attività di Social Engineering compiuta da esperti tecnici che provvedevano a reperire tutte le informazioni e gli ulteriori dati necessari. Una volta ottenuti i dati, l'organizzazione rivolgeva la sua abilità criminale proprio verso i clienti ai quali, spacciandosi per dipendenti della banca, paventava problemi connessi nell'attivazione del titolo riuscendo infine, con abilità persuasive, a farsi indicare il Pin dei titoli.

L'associazione, disponeva di un proprio "apparato tecnico-finanziario" che si occupava di dotare gli associati di conti correnti e carte prepagate con funzioni on-line. I criminali potevano cosi' monetizzare i proventi degli indebiti utilizzi che, prelevati per contanti su sportelli Atm, poi confluivano su strumenti prepagati riciclando consistenti somme di denaro su carte di credito in possesso dei vari "money mules" gestiti dal gruppo. Ad aiutare la polizia Postale nelle indagini anche vari Istituti di credito e Poste Italiane.

Come funziona il Vishing, la cybertruffa che squilla con il telefono

Una voce autorevole, suadente, professionale. E una richiesta che potrebbe rivelarsi una trappola. Corre sul filo del telefono la nuova frontiera del cybercrime, il 'vishing' - neologismo anglosassone nato dalla fusione tra 'voice' e 'phishing' - che spiega bene come l'obiettivo del truffatore di turno sia lo stesso del 'collega' che si affida al pishing tradizionale, quello via e-mail: indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire del denaro.

La minaccia, vecchia di almeno una decina di anni e tipica soprattutto degli Usa e del Regno Unito, negli ultimi tempi è stata importata anche in Europa e in Italia e segue uno schema molto collaudato e, tutto sommato, abbastanza riconoscibile.

Chi chiama - a un numero fisso o sul mobile - di solito dice di appartenere al call center di un istituto di credito e avverte che la nostra carta di credito è stata oggetto di una truffa o di un tentativo di truffa: da qui la richiesta di fornire tutta una serie di informazioni personali - in particolare il pin - in modo da confermare che i dati del titolo siano ancora protetti.

Ad abbassare il livello di difesa della potenziale vittima, contribuisce il fatto che il sedicente operatore bancario in effetti conosce il numero della carta che dice di voler controllare, numero carpito con furti (come nel caso accertato oggi) o sofisticate tecniche di social engineering.

Come difendersi?

Dalla polizia postale arrivano almeno tre raccomandazioni chiave.

La prima: "diffidare di numeri di telefono che non conosciamo e attraverso i quali abbiamo ricevuto richieste riguardanti dati personali, bancari o codici di sblocco".

La seconda: "non fornire le credenziali di accesso ai propri servizi bancari online".

La terza: "contattare il più vicino ufficio di polizia per segnalare quanto avvenuto e ricevere ulteriori consigli".

Attenzione anche ad un'ulteriore, non meno subdola variante di attacco informatico, nota come 'smishing', ovvero il phishing che viaggia via sms: in questo caso sul nostro smartphone arriverà un messaggio con cui ci viene chiesto, anche con la promessa di uno sconto o di una promozione, di contattare un certo numero di telefono o di collegarsi ad un certo sito. Che quasi sempre però è un sito clone, in tutto e per tutto simile a quello della banca.