un saluto alla community...
il giorno 18/05 sono stato oggetto di truffa via smishing...
ricevo due sms da ING che mi avvisano della mia app connessa ad un nuovo dispositivo...
avendo da una settimana cambiato smartphone (vedi la sfiga...), all' arrivo del secondo sms, ovviamente di sabato, sbuffo con sufficienza pensando "ma questi si accorgono adesso del cambio del cell?" e con la massima fiducia clicco sul link dell' sms che a ben vedere era farlocco che più farlocco non si può, comunque la grafica del sito era simile a quella classica ING e naturalmente inserisco tutte le credenziali come l' ultimo degli allocchi; al che il sito mi informa di un errore e che sarei stato subito contattato da un agente...
dopo pochi secondi chiama un operatore dal numero ING 029996789 (ovviamente fasullo sia l' operatore che il numero) dicendomi che è in corso un accesso improprio al mio conto e che da bari stanno tentando delle operazioni...
per farla breve, si succede in breve tempo una girandola di messaggi push dall' app ING e di sms da ING con l' operatore che in tempo reale stava tentando di impedire e stornare tali operazioni illecite...chiaramente era vero l' esatto opposto perchè nel frattempo i complici nella stanza avevano acceduto al conto e stavano facendo acquisti e bonifici a manetta...
ad un certo punto, insospettito, ho buttato giù e chiamato la banca ma ormai il danno era fatto...
c' è da dire che nel corso della telefonata qualche dubbio dovevo averlo avuto, tanto che il truffatore mi aveva inviato questo sms, sempre da ING...
"Gentile Cliente siete pregati di verificare con l operatore telefonicamente la sua pratica e stata assegnata all Ufficiale Siete pregati di non comunicare nessun dato sensibile a terze persone se non al suddetto Consulente, (LA MANCATA VERIFICA SI RENDERA RESPONSABILE DEL PROPRIO CONTO CORRENTE) Distinti Saluti."
a ben vedere, l' ortografia è piuttosto scorretta, ma siccome non necessariamente il cliente è membro dell' accademia della crusca o di quella dei lincei e perdipiù il momento è abbastanza confuso, mi sono accorto della falsità dell' sms solo a cose fatte...
bloccato sia l' accesso al conto che tutte le carte, denuncia ai caramba e richieste di disconoscimento di tutte le spese...
i danni sembrano limitati perchè, in apparenza, da ING mi hanno rimborsato i pagamenti con la CDC e i bonifici, mentre resta un dubbio su un pagamento della carta di debito che appurerò sperabilmente a breve...
da questa esperienza, a parte la stupidità di cliccare su un link chiaramente fasullo che, da utente avanzato come mi credevo, ancora mi stupisco di aver fatto, volevo trarre alcuni spunti tecnici da suggerire per limitare il più possibile episodi simili...
intanto, se l' istituto non è in grado (come evidentemente non è) di assicurare la genuinità degli sms che pervengono agli smartphone dei clienti sotto la voce "ING" e la cui autenticità lato utente è impossibile da verificare, al contrario delle email, la strada da seguire a mio avviso è quella di dismettere progressivamente l' utilizzo degli sms nei rapporti con la clientela, optando per un tipo di messaggistica impossibile da contraffare...esistono già app di questo tipo oppure si può implementare la stessa app ING (se è sicura hihi)...
in effetti, se il cliente ha già ricevuto decine di sms genuini che si accodano sotto l' albero ING e ne riceve altri non genuini che si incasellano esattamente sotto quelli della banca, è portato a ritenere genuini anche questi ultimi...
come dicevo, al contrario delle email che si possono analizzare anche aprendo il sorgente, cosa che faccio da oltre 25 anni in caso di dubbio riuscendo a non cadere mai nel tranello del phishing, gli sms di ING anche negli smartphone più moderni sono impossibili da verificare dal punto di vista tecnico e quindi il cliente è disabituato alla verifica e portato a fidarsi, cosa come abbiamo visto assai pericolosa...
la stessa cosa succede per le telefonate provenienti da numerazioni ING (029996789 e probabilmente altre)...
figuratevi che ridere un paio di ore dopo la truffa del 18, quando finalmente mi richiama l' operatrice genuina dal 029996789 e io me la faccio addosso...come faccio a fidarmi di lei, le chiedo?
e lei risponde "beh, si deve fidare, come farei a sapere che lei ha richiesto la nostra telefonata?" (cosa che avevo effettivamente fatto, ma anche un malfattore avrebbe potuto senz' altro supporre che avrei chiamato la banca e avrei richiesto la richiamata al servizio phishing, e siamo più scemi di prima...).
visto che i malfattori riescono a spoofare con la massima tranquillità la numerazione telefonica ING 029996789, anche in questo caso DEVE essere previsto un meccanismo di autenticazione per le chiamate entranti, magari tramite la stessa app oppure tramite una OTP da fornire al bot del call center DOPO AVER RICHIAMATO il 029996789, cioè, l' operatore chiama il cliente, gli fornisce una OTP e lo invita a richiamare il 029996789, premere un certo numero e comporre la OTP, dopodichè viene rimesso in contatto con lo stesso operatore...
un' altra cosa su cui mi soffermo è la richiesta del pin al difuori dell' accesso al conto da pc...
da smartphone fortunatamente utilizzo il dato biometrico.
ogni qualvolta si contatta il call center telefonico, la vocina chiede di inserire codice utente, data di nascita e il pin di 6 cifre completo...
in questo modo si abitua il cliente a fornire il pin completo al difuori dell' accesso al conto e questa è stata probabilmente una delle ragioni, a parte la stupidità, che mi ha spinto a fornire tutte le credenziali al sito dello smishing senza nessun sospetto...
per i clienti che hanno l' app, il call center potrebbe richiedere l' autorizzazione tramite il dato biometrico oppure, in caso di assenza dell' app, si può predisporre un codice di identificazione al call center diverso dal pin...
così facendo, il cliente sarebbe disabituato a fornire il pin all' esterno dell' accesso al conto da pc e quindi ogni richiesta di pin al difuori di quel canale dovrebbe insospettirlo...
insomma, ho combinato un casino, dal 18/05 mangio solo patate e cipolle perchè avevo via un centinaio di euro ma le serbavo per eventuali emergenze, la CDC mi è arrivata oggi e finalmente farò qualche spesuccia, quella di debito l' ho richiesta dopo aver riavuto il pin e quindi l' accesso al conto lunedì 27/05, arriverà...
la mia stupidità non ha limiti, comunque spero che la mia esperienza e qualche mio suggerimento possano essere utili...
AnnaMaria_ING
