Come riconoscere il phishing nelle truffe auto con bonifico istantaneo

Negli ultimi anni, i tentativi di phishing che sfociano in truffe con bonifico istantaneo sono cresciuti esponenzialmente, soprattutto nel settore della compravendita di veicoli fra privati. Ne è un valido esempio la truffa della triangolazione dove, tramite la sottrazione delle credenziali d’accesso all’home banking di un terzo soggetto estraneo, malintenzionati effettuano l’acquisto di veicoli tramite bonifico istantaneo, sfruttando indebitamente il denaro altrui. Ma come riconoscere questi raggiri?

Innanzitutto, è bene ricordare che la compravendita di mezzi fra privati può essere sempre soggetta all’azione di malintenzionati, di conseguenza è sempre utile agire preventivamente per proteggere il proprio pagamento. Ad esempio con Owny, la piattaforma che permette di arrivare al passaggio di proprietà in piena sicurezza.

Phishing e bonifico istantaneo: quale legame

Le truffe perpetrate con tecniche di phishing sono ormai frequenti online e, come accennato in apertura, coinvolgono sempre più la compravendita di auto usate. Approfittando della buona fede della controparte, e avvalendosi di link malevoli oppure di siti clonati, i malintenzionati riescono a concludere transazioni fraudolente oppure a sottrarre denaro, ottenendo l’accesso indebito all’home banking altrui. Una volta recuperate le credenziali, i criminali sfruttano poi il bonifico istantaneo per indirizzare denaro altrove, considerando come questo metodo di pagamento sia irrevocabile.

Questo comportamento è tipico, ad esempio, della truffa sui report auto:

• un falso acquirente chiede alla controparte di effettuare un report auto, per accertarsi dello storico del veicolo prima di procedere all’acquisto, inoltrando un link malevolo;
• cliccato il link, il venditore si trova di fronte a un sito in tutto e per tutto identico a quello di servizi di report auto conosciuti, immette i propri dati ed esegue il pagamento. Ancora, spesso questi portali richiedono il caricamento di un documento di identità, nonché della Carta di Circolazione o del Documento Unico del veicolo, ma anche di eventuali altri documenti firmati. Trattandosi di un portale falso, però, le informazioni immesse vengono sottratte;
• raccolti illecitamente tutti i dati del venditore, i malintenzionati entrano nel suo conto corrente online e iniziano a trasferire fondi altrove, tramite bonifici istantanei. Nei casi più gravi, la vittima subisce un furto di identità completo.

La truffa sui report auto è però solo una delle tante, poiché spesso i truffatori agiscono anche:

• producendo false email della banca della controparte, contenenti link malevoli verso siti che riproducono alla perfezione quello legittimo dell’istituto di credito. Immesse le proprie credenziali, queste vengono sottratte;
• recuperando il numero di telefono della vittima sui siti di annunci auto, per inviare PDF infetti via WhatsApp o link malevoli via SMS, contenenti delle porzioni di codice che permettono di ottenere il controllo remoto del dispositivo usato. Verranno quindi raccolti i dati d’accesso al conto corrente, per sottrarre denaro tramite bonifici istantanei verso terzi.

Come riconoscere i tentativi di phishing

Appare evidente che, in una simile situazione, è fondamentale riconoscere i tentativi di phishing per tempo, per evitare che i truffatori ottengano l’accesso al proprio home banking - e ad altri dati personali e sensibili - per poi svuotare il conto a colpi di bonifici istantanei. Ma come fare?

I campanelli d’allarme nell’approccio

Innanzitutto, vi sono diversi campanelli d’allarme che si possono rilevare nell’approccio della controparte, che dovrebbero spingere a sospettare un tentativo di phishing. In particolare:

• un acquirente insiste per effettuare dei report auto tramite piattaforme di sua preferenza, minacciando altrimenti di non voler concludere la compravendita;
• il truffatore, si tratti di un compratore o un venditore, inizia a fare domande pressanti su quale sia la banca della controparte, ovviamente per poi inoltrare una mail clonata con una comunicazione fasulla a nome dell’istituto di credito;
• il malintenzionato chiede alla controparte di finalizzare un pagamento tramite link malevoli, che indirizzano a siti clonati di veri istituti di credito o servizi analoghi..

In questi casi, è sempre meglio interrompere la comunicazione e, ovviamente, evitare di scaricare qualsiasi materiale fornito o cliccare sui link.

L’attenzione a indirizzi e documenti

Ancora, è necessario prestare elevatissima attenzione a qualsiasi comunicazione che potrebbe giungere - via mail, servizi di messaggistica o SMS - dopo aver interagito con la controparte. Nel dettaglio:

• controllare ogni URL ricevuta, per accertarsi sia realmente associata alla banca o al servizio di pagamento prescelto. A volte possono cambiare singole lettere o il dominio;
• se si riceve una comunicazione dalla banca, per effettuare un pagamento, aggiornare le proprie credenziali o qualsiasi altra richiesta diversa dalle solite comunicazioni dell’istituto di credito, non cliccare alcun link e contattare la propria filiale per chiedere conferma dell’iniziativa;
• non scaricare alcun file inviato dalla controparte sul proprio telefono;
• se si ricevono SMS sconosciuti con link, o messaggi WhatsApp con allegati, prestare attenzione anche al software malevolo autoinstallante, se necessario procedendo anche al reset del dispositivo;
• non comunicare, in nessun caso, le proprie credenziali d’accesso all’home-banking a terzi, né inserirle online dopo aver seguito dei link.

Attivare funzionalità aggiuntive sul conto

Infine, bisogna tenere sempre in debita considerazione che ormai tutte le banche, e i principali servizi di pagamento online, richiedono più conferme all’utente prima di poter effettuare un pagamento.

Di conseguenza se la propria banca lo prevede, è utile attivare la verifica a due fattori o il riconoscimento biometrico a conferma di ogni transazione. Se il malintenzionato dovesse aver avuto accesso al proprio conto corrente, non potrà materialmente disporre un bonifico istantaneo senza che vi sia questo ulteriore passaggio, che può essere eseguito solo dal proprietario. Ancora, la banca potrebbe prevedere funzionalità aggiuntive per evitare accessi indebiti, che devono essere tutte attivate per ridurre le probabilità di essere vittime di truffe.

Naturalmente, per concludere la compravendita è sempre utile affidarsi a servizi come Owny che, oltre a eliminare alla radice truffe e raggiri, non comportano lo scambio di dati bancari fra le parti.