Vishing, il telefono squilla e scatta la truffa: come funziona e come difendersi     

Squilla il telefono, dall'altra parte una voce autorevole e convincente, magari che si presenta come un esponente delle forze dell'ordine, poi la richiesta di qualche dato e la truffa è servita. Si chiama Vishing ed è l'ultima frontiera del cybercrime che corre sul filo del telefono. Neologismo nato dall'unione tra le parole “voice” e “pishing”, il Vishing è una tipologia di truffa online ben conosciuta negli Stati Uniti e in Gran Bretagna che negli ultimi mesi sta prendendo piede anche in Europa e in Italia. L'obiettivo del truffatore, che utilizza il telefono invece della mail, è sempre il medesimo: ottenere dati personali e informazioni finanziarie per poter sottrarre somme di denaro ai malcapitati cittadini. 

Vishing, sgominata una banda in Italia: truffe per un milione di euro

L'allarme Vishing è scattato anche nel nostro Paese dopo che la Polizia di Stato, nella giornata di mercoledì 4 dicembre, ha sgominato una banda criminale che aveva sottratto dati e carte di credito a migliaia di clienti, mettendo in atto frodi per circa un milione di euro. Sono sei le misure di custodia cautelare che gli agenti hanno attuato nei confronti di questa organizzazione criminale, residente nell'hinterland napoletano ma operativa su tutto il territorio nazionale, i cui appartenenti sono indagati per i reati di associazione per delinquere finalizzata alla sostituzione di persona, al furto aggravato e all'indebito utilizzo di carte di pagamento elettronico. 

Le indagini sono state avviate nel luglio 2018 a seguito delle segnalazioni presentate da alcuni Istituti di Credito. Le indagini, coordinate dalla locale Procura della Repubblica, sono state eseguite utilizzando anche attività tecniche e sistemi di tracciamento elettronico, così da consentire di accertare l'esistenza di un'associazione per delinquere operante indistintamente su tutto il territorio nazionale, composta da numerosi pluripregiudicati (almeno 10).

Vishing, come funziona la truffa via telefono

Le modalità con cui avviene questa particolare tipologia di truffa sono abbastanza riconoscibili. Chi chiama dice di appartenere ad un istituto di credito e riferisce al cliente che la propria carta è stata oggetto di un tentativo di truffa. Per “sventarlo” vengono quindi chiesti alcuni dati sensibili, come ad esempio il pin della carta, con cui poi u truffatori possono avere libero accesso al credito. Spesso le difese della vittima vengono abbassate dal fatto che la voce dall'altra parte della cornetta è a conoscenza del numero della carta, che nella maggior parte dei casi viene carpito con furti, come accertato nel caso della banda arrestata nel napoletano, o attraverso altre tecniche.

Vishing, modus operandi in diverse fasi

L'organizzazione criminale sgominata dalla Polizia di Stato italiana procedeva secondo un complesso modus operandi che vedeva i sodali divisi in compiti specifici e ben delineati. Il primo passo consisteva nell'effettuare i furti della corrispondenza nei centri di smistamento di Poste Italiane nel Centro-Nord Italia. All'interno di questi centri di raccolta della corrispondenza, nottetempo parte della banda, con maestria consolidata, individuava le buste contenenti le carte di credito e/o debito spediti da parte degli istituti di credito. Impossessatisi dei preziosi titoli, entrava in gioco un esperto gruppo di "telefonisti" che metteva in atto la tecnica del Vishing. Il gruppo dei "telefonisti" chiamava i vari Istituti emittenti delle carte e, presentandosi come Maresciallo o Ispettore delle Forze dell'ordine, affermava di aver appena sequestrato un consistente numero di carte di credito rinvenute in possesso a malviventi. Con fare perentorio e con la scusa di riconsegnare i titoli in sequestro, si faceva indicare il numero di telefono dei clienti.

Inps, occhio alla mail truffa: "Versamenti irregolari" ma è un malware

A questa seguiva una complessa attività di Social Engineering compiuta da esperti tecnici che provvedevano a reperire tutte le informazioni e gli ulteriori dati necessari. Una volta ottenuti i dati, l'organizzazione rivolgeva la sua abilità criminale proprio verso i clienti ai quali, spacciandosi per dipendenti della banca, paventava problemi connessi nell'attivazione del titolo riuscendo infine, con abilità persuasive, a farsi indicare il Pin dei titoli. L'associazione per delinquere, disponeva di un proprio "apparato tecnico-finanziario" che si occupava di dotare gli associati di conti correnti e carte prepagate con funzioni on-line. I criminali potevano così monetizzare i proventi degli indebiti utilizzi che, prelevati per contanti su sportelli Atm, poi confluivano su strumenti prepagati riciclando consistenti somme di denaro su carte di credito in possesso dei vari "money mules" gestiti dal gruppo. Il profitto illecito di detta attività ha portato nelle casse dell'organizzazione criminale più di un milione di euro. Le carte interessate dalle frodi sono centinaia ed è stato ingentissimo il danno arrecato ai sistemi con importanti riflessi nel sistema di inoltro postale che ha visto la soppressione di numerosa corrispondenza. 

Vishing, come difendersi dalla truffa telefonica

Ma come possiamo difenderci da una truffa così ben architettata? La Polizia Postale ha fornito alcuni consigli utili per non cadere in questi tranelli ed evitare brutte sorprese. Per prima cosa bisogna sempre diffidare dai numeri di telefono che non conosciamo e da cui non abbiamo ricevuto in precedenza comunicazioni riguardanti il nostro conto in banca. Inoltre, è sempre sconsigliato fornire telefonicamente i dati riguardanti le password di accesso ai propri servizi bancari. Se si ha il sospetto di essere vittime di una truffa le forze dell'ordine invitano i cittadini a rivolgersi all'ufficio di polizia più vicino, così da segnalare eventuali operazioni sospette. Infine, ricordiamo di fare particolare attenzione anche al pishing, la truffa informatica più nota e che viaggia via mail, e allo smishing, che invece arriva tramite sms, che di di solito promettono sconti e promozioni per chi chiama il numero indicato o si connette al sito riportato nel testo. Spesso queste pagine sono soltanto dei cloni, portali simili a quelli dell'istituto di credito, che traggono in inganno i malcapitati che compilano i form con i propri dati