x

x

Vai al contenuto
Messaggio pubblicitario

Phishing bancario via SMS ed e-mail: come riconoscere le truffe e cosa fare se hai cliccato

Non cadere nella trappola! Impara a riconoscere il phishing bancario via SMS ed e-mail (smishing) e come difenderti. Scopri i segnali di frode con la nostra guida

Prima o poi potrebbe davvero capitare a chiunque e il problema sta propro qui: il phishing bancario è diffusissimo come truffa, e può colpire tanto una signora anziana poco avvezza a certe dinamiche così come un giovane che potrebbe cascarci quasi senza rendersene conto. Per fortuna, gli strumenti che abbiamo per proteggerci sono tanti: ecco quali.

Approfondimenti

Che cos’è il phishing bancario e come funziona

Scritta scam alert
Hai ricevuto un SMS o una mail sospetta dalla tua banca? Leggi i nostri consigli pratici su cosa fare se hai cliccato e come evitare di perdere i tuoi soldi

Il phishing è una pratica illegale con la quale si cerca spingere gli utenti a cliccare su allegati o link dannosi. Questi elementi “maligni” possono infettare il computer con software spia (malware) che ruba dati riservati. L’obiettivo è spesso sottrarre denaro, paralizzare le attività aziendali o distruggere informazioni.

Per eludere i sistemi di sicurezza, gli allegati di phishing si nascondono spesso nelle ‘macro’ di Microsoft Office, scaricando il malware solo all’esecuzione. I link possono condurre a siti web che sembrano autentici, ma che in realtà sfruttano debolezze del sistema per installare un codice malevolo o, più semplicemente, ingannano l’utente per fargli inserire autonomamente le credenziali.

Come riconoscere un SMS o una mail di phishing

Via mail, il phishing si presenta con dei apparentemente autentici, che simulano avvisi da parte di siti web o servizi che utilizziamo di solito. Spesso contengono link che ci reindirizzano a pagine fasulle dove ci viene chiesto di inserire credenziali di accesso o dati sensibili (come numeri di carte di credito).

Qualcosa di simile avviene anche con gli SMS: in questo caso il link o la richiesta fraudolenta arriva tramite app di messaggistica come ad esempio iMessage o Whatsapp.

Cosa fare se sospetti un phishing ma non hai cliccato

Il primo step in questi casi è riconoscere la minaccia in corso e correre subito ai ripari: quando sospettiamo di essere stati contattati da un truffatore con questo sistema, evitiamo assolutamente di cliccare sul link inviato, dopodiché segnaliamo l’e-mail/il numero di telefono alle autorità e inseriamolo e nella cartella spam, poi provvediamo a cancellare tutto il più rapidamente possibile.

Cosa fare se hai cliccato o inserito dati

In questo caso cercate di capire esattamente quali informazioni potreste aver rivelato: controllate per bene i registri delle attività dei vostri account per movimenti sospetti.

Se avete cliccato su un link o scaricato qualcosa, scollegate immediatamente il dispositivo da internet (disattivate quindi il Wi-Fi o scollega il cavo di rete) per prevenire la diffusione di malware.

Rapporto con banca e forze dell’ordine

Se avete ricevuto messaggi simili sospetti, contattate subito l’azienda che è stata “sostuita” per avvisarla. Segnalate anche l’incidente alle autorità competenti (ad esempio, le forze dell’ordine o gli enti di lotta alla frode). Entrate subito anche in contatto con la vostra banca per verificare la presenza di movimenti di denaro che potreste non avere autorizzato; nei casi più delicati, considerate la possibilità di cambiare le vostre credenziali, se non addirittura di bloccare carta/conto.

Denuncia/querela e segnalazione formale

Se la situazione dovesse degenerare (per esempio: se dal vostro conto bancario fossero state prelevate ingenti somme di denaro) recatevi subito dalle autorità e sporgete denuncia o querela formale: è nel vostro diritto farlo, anche se per risolvere il problema e rientrare del denaro perso potrebbe volerci molto tempo. Ad ogni modo, abbiamo diritto al rimborso integrale se l’operazione non è stata da te autorizzata.

Quando e come puoi chiedere rimborso per operazioni fraudolente

Nel nostro Paese e nella comunità europea è in vigore una normativa (la PSD2) stabilisce che, se un cliente nega di aver autorizzato un’operazione di pagamento, l’onere della prova ricade sulla banca, che deve dimostrare l’autenticità e la corretta registrazione dell’operazione.

Attenzione, comunque sia, perché delle eccezioni alla regola: il rimborso può essere negato o ridotto se la banca dimostra che abbiamo agito con dolo (intenzionalmente) o con colpa grave (ad esempio, abbiamo annotato il PIN sulla carta o abbiamo risposto consapevolmente a richieste ovvie di phishing, compromettendo volontariamente le misure di sicurezza). La denuncia formale alle autorità è quasi sempre un requisito fondamentale per avviare la procedura di rimborso con la banca.

Per quanto riguarda le tempistiche, dobbiamo segnalare l’operazione non autorizzata alla nostra banca entro 13 mesi dalla data di addebito (ma prima lo si fa, meglio è).

Documenti e screenshot da conservare

Qualunque prova che documenti questo eventuale scambio può diventare preziosissima in uno scenario simile. Per ogni azione intrapresa (denuncia, richiesta di rimborso, indagini) è vitale conservare:

  • Corrispondenza intercorsa con la banca o le autorità;
  • Screenshot dell’email o del messaggio truffa ricevuto;
  • Indirizzi email, URL e numeri di telefono utilizzati dal truffatore;
  • Ricevute delle transazioni fraudolente (se disponibili);
  • Copia della denuncia/querela sporta alle forze dell’ordine.

Buone pratiche per evitare il phishing in futuro

Si può ovviamente anche giocare d’anticipo e, anzi, come si dice in questi casi, prevenire è meglio che curare. Qui di seguito alcuni dei comportamenti più importanti da seguire.

Attivare notifiche per ogni movimento

Impostiamo le nostre notifiche via SMS o via app (push) che ci avvisino per ogni movimento in entrata o in uscita dal nostro conto. In questo modo, saremo i/le primi/e a sapere se c’è stata un’attività sospetta e potremo agire tempestivamente.

Usare autenticazione a due fattori e app ufficiali

Si tratta di un’opzione ormai diffusa su quasi tutti gli home banking o altri servizi simili e comporta l’inserimento di due diverse credenziali (per esempio una password impostata da noi e un codice che si riceve via SMS o mail) per creare una sorta di doppia barriera all’entrata di malintenzionati sui nostri spazi online privati.

Allenare la “diffidenza sana” verso qualunque messaggio urgente sui soldi

Truffatore al lavoro
Analizziamo le tattiche del truffatore online: scopri come i criminali orchestrano gli attacchi di phishing e le misure di sicurezza essenziali per proteggere il tuo conto e i tuoi dati

Pur essendo senza dubbio un fastidio, il rischio phising ci aiuta a porre maggior attenzione a tutti quei messaggi che ci richiedono soldi con urgenza.

I criminali, nella maggior parte dei casi, orchestrano gli attacchi di phishing giocando sull’ansia e sulla paura (“Il tuo conto sarà bloccato! Clicca qui!”): impariamo a dubitare di qualsiasi comunicazione inattesa che ci chieda di agire rapidamente, soprattutto se riguarda il nostro denaro o i nostri dati sensibili. Le banche reali ci contatteranno sempre e solo tramite i canali ufficiali o ci inviteranno ad accedere all’area riservata, non via link casuali in SMS o email!

10 segnali di allarme in un SMS/mail che parla di soldi

Ricapioliamo per concludere tutte le “red flag” alle quali è necessario prestare attenzione.

  • Richiesta Improvvisa di dati personali/credenziali: la banca non ci chiederà mai credenziali, PIN o codici di sicurezza via email o SMS, che sono già salvati nei suoi sistemi informatici;
  • Tono allarmistico: minacce di blocco del conto, scadenza ravvicinata o conseguenze gravi se non si agisce immediatamente;
  • Link sospetti: Passando il mouse sopra il link (o tenendolo premuto sullo smartphone), l’indirizzo mostrato non corrisponde perfettamente al dominio ufficiale della banca (es. finisce con tuabanca.net invece di tuabanca.it);
  • Un bizzarro indirizzo del mittente: l’indirizzo email non finisce con il dominio ufficiale della banca (es. finisce con @libero.it o @gmail.com);
  • Saluto generico: invece di usare il vostro nome e cognome, il messaggio inizia con “Gentile cliente” o formule simili del tutto impersonali;
  • Errori ortografici/grammaticali palesi: le comunicazioni ufficiali raramente contengono errori di battitura o di sintassi evidenti;
  • Richiesta di scaricare allegati: occhio anche ad un inatteso sollecito a scaricare file, soprattutto se sono di tipo eseguibile (.exe) o documenti di Office con macro;
  • Offerte troppo belle per essere vere: promesse inaspettate di premi, rimborsi o regali in denaro stratosferici;
  • Numero di telefono sconosciuto: l’SMS o la chiamata proviene da un numero che non è quello ufficiale o riconosciuto della nostra banca;
  • Assenza di firma e contatti ufficiali: mancano i dettagli standard di chi ha inviato la comunicazione che confermerebbero la legittimità.

Argomenti

Ultime notizie