In queste ore il raggiro che ha visto protagonista il noto cantautore, attore, regista e scrittore David Riondino si sta ritagliando grande spazio su una vasta schiera di testate online. L’artista fiorentino racconta di essere stato truffato da parte di sconosciuti che si sono finti operatori del supporto clienti Nexi.
Purtroppo, le vicende come quella che – suo malgrado – ha coinvolto Riondino sono all’ordine del giorno. Gli aggressori utilizzano tecniche sempre più raffinate per prendere di mira le loro vittime e sottrarre denaro dai loro conto correnti.
Il funzionamento della truffa a David Riondino
Il cantante e attore racconta di aver ricevuto un SMS apparentemente proveniente da Nexi con un testo simile al seguente: “Spesa pre-autorizzata con Carta Bancomat di euro 1.495,88 su www.apple.com se non è stato lei contatti l’Assistenza Clienti al +393508042154. Grazie Nexi“.
La prima regola è non dare mai credito a SMS di questo tipo. Gli aggressori sono infatti soliti inviare SMS che sembrano provenire da piattaforme di pagamento, Poste e altri istituti di credito. La tecnica si chiama SMS spoofing e ha come obiettivo proprio quello di trarre in inganno gli utenti.
Come ultimo tra gli SMS legittimi provenienti da Nexi, PosteInfo, UniCredit, IntesaSP e così via (questi sono alias, esempi di “etichette” utilizzate da alcuni nomi noti per non esporre numerazioni reali), potreste vedere arrivare un messaggio truffa come quello ricevuto da Riondino.
Non date mai credito a quelle comunicazioni: tutt’al più, accedete al vostro online banking (sempre che siate clienti della banca o della piattaforma di pagamento indicate) e verificare eventuali addebiti. Oltretutto, se avete installato l’app di gestione del vostro conto corrente e delle vostre carte di credito, è proprio quella che vi avvisa (nell’area di notifica dello smartphone) con la comparsa di un messaggio, al momento dell’avvenuto trasferimento di denaro.
Mai chiamare numerazioni riportate negli SMS ricevuti
Una semplice ricerca online del numero riportato nell’SMS truffaldino avrebbe immediatamente fatto sentire puzza di bruciato. La pagina di Tellows è eloquente e molti altri utenti hanno denunciato la ricezione del medesimo messaggio fraudolento. Nulla di nuovo sotto il sole, purtroppo.
A maggio 2023 AGCOM aveva disposto il giro di vite su questi SMS trappola ma al momento continuano a impazzare. Così come prosegue l’utilizzo della tecnica del CID spoofing da parte di truffatori e marketers senza scrupoli che usano numeri di telefono inesistenti o appartenenti ad altri soggetti per mascherare la loro identità. Ne abbiamo parlato anche nell’articolo sulla truffa che prova a obbligare gli utenti a passare “a tecnologia digitale”.
Cos’ha fatto Riondino? Quello che non si dovrebbe fare mai. Ha chiamato il numero riportato nell’SMS dando di fatto i suoi dati in pasto al truffatore digitale.
Intanto il truffatore, dall’altro capo della linea, ha potuto leggere in chiaro il numero del chiamante (quindi l’utenza mobile utilizzata da Riondino). Ha quindi potuto prepararsi con tutta comodità per le fasi successive del raggiro.
Il vishing: inizia il colloquio con i truffatori
È qui che la truffa assume anche le connotazioni del vishing: Riondino racconta di aver parlato con una persona che utilizzava un italiano corretto, senza inflessioni, dal tono professionale e rassicurante.
Al Corriere della Sera, l’artista toscano ha dichiarato: “il presunto operatore parlava un italiano corretto, distinto. Per lo più mi rincuorava dicendo che bisognava fare di più contro i truffatori informatici. Ma per fortuna quel pagamento era stato bloccato. Così, con tante belle parole, mi ha spiegato cosa fare per bloccare il pagamento. E tale operazione l’ho ripetuta per ben 23 volte, inserendo ogni volta un bonifico di 495 euro (più 1,61 euro di commissioni). Solo successivamente ho constatato che dal mio conto corrente era stata sottratta la somma totale di 11.422 euro“.
Il problema è tutto in quella frase “con tante belle parole“. Riondino non ha condiviso, nello specifico, le richieste avanzategli dal finto operatore Nexi. È possibile che gli abbia chiesto di confermare gli estremi della sua carta di pagamento, collegata al conto corrente, per autorizzare una serie di bonifici istantanei. D’altra parte Nexi consente i bonifici istantanei facendo da intermediario tra le banche di 34 Paesi dell’area SEPA. Da un lato Riondino dichiara di essere correntista di Banca Monte dei Paschi di Siena, ma la truffa potrebbe essersi integralmente consumata facendo perno sugli estremi della carta Nexi collegata al conto.
Non fornire mai i dati dei propri metodi di pagamento, tanto meno codici OTP
Per completare qualsiasi pagamento online è necessario inserire un codice autorizzativo o confermare un OTP (one-time password) generato localmente. Riondino non lo dice, ma è possibile che il truffatore gli abbia chiesto di comunicargli questi dati, utili per superare l’autenticazione a due fattori.
Ancora una volta, mai e poi mai fornire a terzi queste informazioni. L’autenticazione a due fattori è l’unica ancora di salvezza della quale si dispone allorquando un truffatore venisse in possesso delle proprie credenziali di accesso (ad esempio a un servizio di online banking) o degli estremi di una carta di credito. Si tratta di dati che vanno scrupolosamente custoditi per non vedere letteralmente bruciato il proprio denaro.
C’è anche il problema degli estremi della carta di pagamento. Erano già in possesso dei truffatori (compreso il codice CVV/CVC) oppure si tratta di un’informazione riservata che, ancora una volta, l’attore ha condiviso telefonicamente?
Perché se fossero stati già in possesso dei criminali informatici, potrebbero essere dati arrivati da un incidente informatico avvenuto in passato oppure sottratti dai terminali della vittima (installazione di un malware?). Non abbiamo indicazioni in proposito quindi non possiamo lanciarci in ipotesi.
Ciò che possiamo sottolineare, ancora una volta, è che gli estremi dei conti correnti bancari e delle carte di pagamento non si comunicano mai né per via telefonica né con altri mezzi (nessuna banca vi chiederà mai di farlo!). Chi lo fa commette un errore palesemente grossolano.
Il messaggio con l’indicazione “Richiesta NEGATA per la disposizione di bonifico“
Riondino racconta di aver ricevuto un SMS con l’indicazione “Richiesta NEGATA per la disposizione di bonifico” per ciascun bonifico che successivamente ha scoperto di aver lui stesso autorizzato a favore dei truffatori.
Fumo negli occhi. Si tratta semplicemente di una banale tecnica di ingegneria sociale sfruttata dagli aggressori per disorientare la vittima e farle ritenere che non vi sia stato alcun trasferimento di denaro. Ipotizziamo che il protagonista della vicenda non avesse installato l’app della piattaforma di pagamento, altrimenti avrebbe immediatamente ricevuto una serie di notifiche (questa volta reali) che lo informavano su quanto stava accadendo.
Soltanto successivamente, come racconta sempre al Corriere della Sera, Riondino dice di aver controllato il suo conto corrente rendendosi conto di aver effettivamente eseguito ben 23 bonifici istantanei (che, lo ricordiamo, non sono revocabili) di una somma pari a 495 cadauno, tutti andati a buon fine. Totale incassato dai truffatori: più di 11.000 euro.
Credit immagine in apertura: iStock.com – weerapatkiatdumrong