"Verifica Postepay", la truffa corre su sms rubando soldi e dati - Cyber Security 360

phishing

“Verifica Postepay”, la truffa corre su sms rubando soldi e dati

C’è una nuova campagna di sms truffa avvistata dallo Csirt: finge una verifica della carta Postepay di Poste Italiane. Manda sms con link che portano a pagine dove chiedono dati dell’utente, per rubarli e sottrarre anche denaro dalle carte. Ecco come difendersi

25 Mar 2021

Con la scusa di una verifica Postepay, cercano di rubare dati e soldi dalla carta di Poste Italiane. È una nuova campagna di sms truffa avvistata dallo Csirt, il centro di monitoraggio nazionale governativo di queste minacce.

Il meccanismo è simile alle truffe via sms a tema “Poste Italiane” già viste in precedenza

Come funziona la truffa verifica Postepay via sms e cosa ruba

Csirt ipotizza che tutto parta da sms che invitano l’utente a una verifica della carta Postepay.

Cliccando su un link presente nell’sms, si arriva su una pagina che imita quella legittima di Poste Italiane. Ci chiedono, in più passaggi, tre cose:

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza
  • credenziali di accesso al portale Poste Italiane (nome utente e password);
  • numero di telefono;
  • dati relativi alla carta di credito, compreso il codice OTP.

Tutti dati che sono così sottratti. Con il codice OTP e i dati della carta è possibile sottrarre anche soldi. Una particolarità notata da Csirt è che le pagine truffa integrano un sistema di verifica del nome utente e dei dati della carta per confermare che il loro formato corrisponda a quelle di reali utenze e carte Postepay.

Come evitare di cadere in queste truffe

“Per prevenire questi inconvenienti, occorre soprattutto porre la massima attenzione ad ogni richiesta che dovesse giungere tramite e-mail, SMS, messaggistica istantanea, chiamate e chat che contenga informazioni o pretese di vario genere”, ricorda Salvatore Lombardo, socio Clusit.

A questo proposito si ricorda che gli istituti bancari quando inviano messaggi o comunicazioni online usano specifici canali e determinate regole prestabilite con gli stessi clienti:

  • Nelle comunicazioni e-mail sono sempre indicati il nominativo del cliente e soprattutto la giliale di riferimento e non vengono assolutamente mai richiesti dati personali, password, codici dispostivi o numeri di carte di credito.
  • Nelle comunicazioni via telefono/sms/chat non vengono mai chiesti ai clienti, tramite operatori e/o SMS credenziali di accesso ai servizi di home banking, PIN, password, codici Token, e codici sicurezza riportati sulle carte di credito. Solitamente non vengono nemmeno usati come canale di comunicazione programmi di messaggistica istantanea.

In effetti la regola è chiara: ignoriamo richieste di qualunque tipo (sms, mail…) dove un soggetto (banca, corriere, Amazon, Netflix) ci chiede di cliccare su un link per avere dati o altre nostre informazioni.

Allenare la sensibilità

Gli utenti internet di lunga data hanno ormai affinato la propria sensibilità per scartare a colpo d’occhio queste truffe. Una buona idea può essere quindi allenare la nostra sensibilità leggendo esempi di truffe già tentate, nel nostro canale su phishing.

Bloccare la carta

Se ci accorgiamo di essere caduti in una truffa simile dopo aver già inserito i nostri dati, blocchiamo immediatamente la carta.

Segnalare casi sospetti

Aggiunge Lombardo: “Nel caso si ricevessero questi tipi di comunicazioni oltre che prestare le solite precauzioni raccomandate, è doveroso anche offrire il proprio contributo per attenuarne la diffusione e ridurre il numero degli attacchi riusciti, segnalando immediatamente i casi sospetti al servizio antifrode ufficiale del proprio istituto bancario o del servizio coinvolto e denunciando il caso tramite lo sportello per la sicurezza web della polizia postale”.

Se ci hanno già truffato, quale rimborso Postepay

Queste precauzioni sono necessarie anche perché i contratti delle banche (e Postepay), oltre che alla giurisprudenza di settore, negano i rimborsi quando l’utente ha fornito direttamente i propri dati di carta e di OTP.

I rimborsi sono previsti solo quando i dati sono stati sottratti tramite attacco informatico, anche perché quest’ultimo può avvenire senza che l’utente abbia qualsiasi colpa (ad esempio i criminali possono aver preso i dati bucando un server di un sito dove l’utente li ha inseriti).

In questo caso, l’utente – dopo aver bloccato la carta e fatto denuncia alle autorità – può chiedere il rimborso secondo le modalità previste da ciascuna banca.

Servizi di avviso e assicurativi

Per accorgerci di movimenti sospetti, è sempre utile attivare sistemi di avviso (sms) in caso di pagamenti e bonifici. Vedere le opzioni offerte dalla propria banca e di solito attivabili via home banking.

Infine, si può valutare la sottoscrizione di assicurazioni che ampliano le opzioni di rimborso in caso di truffa e includono servizi di monitoraggio dell’identità creditizia; avvisano se sono attivate carte o finanziamenti a nome del correntista.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4