I tentativi di phishing sui conti correnti non passano esclusivamente attraverso le mail o gli SMS. Sicuramente si tratta di un metodo piuttosto semplice per ottenere le credenziali d’accesso ai conti in un colpo solo, ma gli utenti stanno diventando sempre più accorti contro questo genere di raggiro, e pertanto potrebbe non andare a segno.
Da qualche mese a questa parte, però, si è riaffermata una vera e propria truffa inventata nel 2015, che vede come protagonista le SIM degli utenti. Vi starete chiedendo come sia possibile risalire dalle SIM ai conti correnti: la spiegazione giace in un dettaglio inatteso.
Il meccanismo su cui si basa questo raggiro è piuttosto elaborato, ma se portato a termine con dovizia, assicura un successo ben più alto che qualsiasi altra pratica di phishing.
Il principio di fondo sta nello sfruttare i nuovi metodi di autenticazione sull’home banking, che prevedrebbero l’utilizzo del proprio numero telefonico come token. A partire dallo scorso settembre, infatti, non è più possibile accedere al banking online tramite il token fisico
, quella chiavetta consegnata al momento dell’apertura del conto e che forniva il codice d’accesso temporaneo per entrare nel profilo. Adesso è lo stesso smartphone ad essere diventato un token vero e proprio, e al momento dell’accesso il cliente riceve via SMS una OTP (One Time Password) da inserire.Appare chiaro dunque che se dei malfattori riuscissero a clonare la SIM dell’intestatario di un conto, riceverebbero questa OTP sul clone, penetrando così sul conto. Combinando questa strategia con altre modalità di phishing, si riesce dunque a scoprire nome utente della vittima e anche la password di accesso. In altri casi, è anche possibile che tramite il numero clonato i truffatori contattino la banca di riferimento per poter ripristinare la password. Gli operatori, riconoscendo il numero chiamante come quello dell’intestatario, andrebbero a consegnare una nuova chiave per entrare nel conto.