L’esperienza di Pasquale: un SMS nel caldo torrido – Sessione numero 1

Massimiliano Brolli : 11 Giugno 2022 10:31

Sempre di più il cybercrime incombe sui poveri malcapitati del web. Profili fake e scam imperversano sui social network, che con difficoltà (anche se muniti delle migliori intelligenze artificiali), riescono a stare dietro ad un fenomeno che genera truffe di ogni tipo. Questa rubrica vuole sensibilizzare tutte le persone a porre attenzione alle sempre più crescenti attività di truffe online che partono principalmente dalle email e dai social network. Questo verrà fatto con delle storie in prima persona raccontate dai malcapitati, dove verranno fatte delle “lesson learned” finali.

Autore: Massimiliano Brolli

L’esperienza di Pasquale

Salve ragazzi, mi chiamo Pasquale, ho 55 anni e ho un conto bancario online da molto tempo mi trovo bene.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Da sempre utilizzo questi servizi della banca online, che mi permettono di sfruttare al meglio le carte di credito (sono un grande fan della carta di credito ricaricabile, perché mi fa sentire più sicuro) e la possibilità di fare bonifici on line che mi fanno apprezzare la velocità di internet stando comodi sul divano.

Diciamo che ultimamente i codici di conferma sono diventati veramente troppi, ma è anche vero che con i fatti che si sentono in giro, riferiti al crimine informatico e gli hacker, sono delle soluzioni che ci consentono di far stare in sicurezza il nostro portafogli. Io di questo ne so qualcosa.

Ora vi racconto quello che mi è successo circa sei mesi fa. Era un sabato piovoso di Aprile, faceva freddo.

Quel giorno non sono uscito in quanto non aveva senso vista la giornata uggiosa.

Stavo al computer leggendo degli articoli su internet svolazzando da un social all’altro, quando ad un certo punto mi arriva un SMS dalla mia banca che mi diceva:

“Gentil cliente, siamo stati colpiti da un importante attacco informatico. Per consentirci di ripristinare il prima possibile il suo conto, vi preghiamo di accedere a questo indirizzo e confermare il vostro account altrimenti dovrà venire in filiale per consentirci di ripristinare il suo conto corrente”.

Alla fine c’era un link che puntava ad un sito web.

Letto questo messaggio, mi sono precipitato sul sito web della banca, dove mi si chiedeva di confermare l’username e la password. Già pensavo che mi avrebbero richiesto documenti che per recuperarli ci avrei messo una settimana.

Ho quindi acceduto all’interno del portale dove era presente lo stesso sito web della banca e al centro un ringraziamento per aver certificato la credenziale di accesso.

Mi sentivo sollevato anche se pensavo a chissà quali danni avrebbero potuto arrecare gli hacker ai computer della mia banca, senza capire che l’oggetto della frode non era la banca ma ero io.

Ritorno su internet, vado su Facebook, e quasi immediatamente ricevo una telefonata da un numero che non avevo in rubrica.

Era una ragazza che in italiano mi diceva

“Gentil cliente, siamo la banca [….] e la ringraziamo di aver acceduto al nostro sito per aver certificato le sue credenziali di accesso. Purtroppo stiamo cercando di fare il possibile per limitare i danni. Sappiamo che ha inserito le credenziale nel nostro sito, ma siccome una parte dei sistemi sono ancora nelle mani dei criminali informatici, volevamo sapere se per caso è arrivato un codice di sblocco da parte della banca”.

Io risposi:

“aspetti che controllo”

In effetti era arrivato un altro SMS ma ancora non avevo guardato chi fosse. Risposi alla ragazza dicendo

“Sì è arrivato, è il codice di sblocco standard che ricevo per entrare nel conto”.

Lei mi disse

“si esattamente”

Mi chiede cortesemente di fornirglielo in modo da eliminare la possibilità che gli hacker potessero accedere ai fondi del mio conto in quanto si trattava di un codice OTP di sblocco. Fornii quindi il codice alla ragazza che mi ringraziò e agganciò la telefonata.

Dopo circa due o tre minuti, arrivò un terzo SMS che confermava l’avvenuta transazione di 5000 euro verso un conto sconosciuto.

Poco dopo mi accorsi che gli hacker avevano rubato 5000 dollari dal mio conto e che ero stato vittima di un attacco di “social engineering”. Questa parola non l’avevo mai sentita prima, ma da quanto ho capito, si tratta di un metodo per colpire le persone attraverso delle tecniche psicologiche e sociali. Scusate se mi spiego male ma non sono esperto di questa materia.

Quella sera sono stato molto male in quanto, si, mi dispiaceva dei 5000 euro ovviamente, ma la cosa che più di faceva arrabbiare era il modo con qui ero stato fregato.

Successivamente mi spiegarono anche che si trattava di un abbinamento di due tecniche chiamate SMishing e Vishing, ma ormai i 5000 euro erano stati persi per sempre e la banca non mi rimborsò un solo euro.

Cosa ha sbagliato Pasquale?

• Pasquale non sapeva che i criminali informatici attraverso il “senso di urgenza”, tentano di carpire la buona fede delle persone inducendole nella frode. Da quel momento in poi iniziò a dubitare di messaggi che chiedevano di fare cose immediatamente;
• Le credenziali normalmente (user e password) non vengono mai richieste dalle banche attraverso sistemi intercettabili come gli SMS o le mail, pertanto avrebbe dovuto immediatamente aumentare il livello di attenzione in quanto con molta probabilità si trattava di un attacco di Smishing. Pasquale da quel momento non inserì più alcuna utenza o password su nessun sito, sulla base di una richiesta pervenuta tramite email;
• Durante la chiamata telefonica, Pasquale è stato messo a suo agio dalla ragazza, la quale con molta cortesia ha fatto leva nuovamente sul “senso di urgenza”, chiedendogli il codice, che ovviamente si trattava dell’OTP inviato dal sistema della banca una volta che i criminali avevano avviato una transazione verso il loro conto. Da quel momento in poi Pasquale iniziò sempre a dubitare delle telefonate fatte da persone sconosciute.

Pasquale finalmente ha capito come comportarsi in queste situazioni. Tu farai lo stesso?

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore