Una nuova e terribile truffa online sta colpendo moltissimi utenti. Si chiama Iban Swap. Ecco come difendersi.
L’uso delle app bancarie sui dispositivi mobili è sempre più diffuso. Ci sono però dei rischi connessi all’utilizzo disinvolto di questi programmi. Il pericolo di violazione dei dati personali e l’accesso fraudolento al proprio conto bancario da parte di hacker e malintenzionati è sempre più frequente.
Tra le truffe più diffuse ce n’è una telefonica in cui un hacker si spaccia per operatore del call center di una banca. L’hacker informa il cliente che il suo conto corrente è stato attaccato e chiede i codici di accesso per bloccare le operazioni. Il cliente comunica i codici al falso operatore, che afferma di aver bloccato l’attacco ma in realtà impedisce al cliente di accedere al sito della banca.
Nel frattempo, l’hacker gestisce il conto corrente online e attiva un nuovo dispositivo con i codici personali del cliente. Si tratta di vishing, una truffa telefonica in cui il numero del chiamante sembra quello della banca e la vittima viene indotta a comunicare i codici di autenticazione. I call center non bancari non richiedono questi codici personali.
Ultimamente invece si sta diffondendo un’altra truffa a carico dei clienti delle banche. La trappola escogitata dai malfattori si chiama Iban Swap e ha come obiettivo finale quello di svuotare completamente il conto corrente del malcapitato.
Iban swap: cos’è e come difendersi
Come funzione l’iban swap? L’utente riceve un’email urgente riguardante una fattura da pagare. Il file excel allegato contiene un malware che si installa nel browser dell’utente. L’utente apre il file e pensa che si tratti di un errore, ma nel frattempo il malware si installa nel browser.
Successivamente, accede all’area riservata del cliente e inserisce i suoi codici per eseguire dei bonifici. Il malware, che monitora le attività dell’utente, modifica l’IBAN di destinazione senza che l’utente se ne accorga. Nonostante l’utente pensi che l’operazione sia andata a buon fine, in realtà i soldi vengono inviati a un conto diverso.
Questa tecnica sofisticata permette di modificare i dati della vittima attraverso il malware. Si consiglia di non aprire mail sospette e di aggiornare i sistemi antivirus e antimalware. Bisogna fare attenzione anche la phishing, che non passa mai di moda, e che consiste in un messaggio inviato a un utente nel quale si comunica l’avvenuto blocco del conto corrente e lo si invita a compilare un form tramite un link. Cliccando sul link, l’utente viene indirizzato a un sito falso dove inserisce le sue credenziali e i codici richiesti.
Dopo aver completato il form, l’utente riceve un messaggio di conferma che il conto è stato sbloccato, ma nel frattempo le sue credenziali sono state raccolte da frodatori che possono utilizzarle per accedere in modo fraudolento al conto online.
Il furto delle credenziali bancarie avviene attraverso l’invio di email o sms fraudolenti. Gli autori utilizzano tecniche di spoofing per far sembrare che i messaggi provengano dalla banca stessa. Il sito a cui si viene indirizzati è molto simile a quello della banca, ma in realtà è malevolo.
Il consiglio è di non fornire mai i propri codici personali. In caso di smarrimento delle credenziali, esistono sistemi automatici di recupero e in caso di operazioni sospette bisogna contattare il call center della banca e bloccare le carte.