Un messaggio SMS dalla banca che avvisa di potenziali truffe ai danni della destinatario: è paradossalmente così che si apre un pericoloso raggiro che mette nel mirino i conti corrente bancari delle vittime. L'ultima persona a finirne colpita è una donna di 55 anni che per aver abboccato all'amo dei truffatori si è vista sottrarre quasi 60.000 euro; la storia l'ha raccontata al Corriere della Sera l'avvocato della donna, ma il sistema utilizzato può essere replicato all'infinito per colpire chiunque perché implica il fatto che i truffatori possono chiamare le potenziali vittime utilizzando il numero di telefono che desiderano, facendo dunque credere di essere chi vogliono.

L'SMS iniziale

Il messaggio che fa partire il raggiro arriva da un numero riconducibile a quello della banca delle vittime. Nel testo il mittente si spaccia per il servizio antifrodi dell'istituto e avvisa la vittima di potenziali attacchi informatici a suo danno; l'invito è a seguire un link a una pagina Internet (ovviamente pensata per somigliare a quella della banca impersonata) dove vanno inseriti i propri dati personali per scongiurare un attacco solamente paventato.

La chiamata del finto ufficio antifrodi

È proprio questo primo passaggio che dà ai truffatori il semaforo verde per partire con il raggiro vero e proprio: a questo punto infatti la finta banca telefona alla vittima impersonando sempre il servizio antifrodi. L'operatore chiede conferma di alcune operazioni in realtà mai eseguite, e la vittima pensa così di essere effettivamente al centro di una intrusione nel suo conto corrente. Le successive azioni dell'operatore risultano in un invio di codici SMS e richiesta di conferme, e aiutano i truffatori a guadagnare l'accesso al conto della vittima — che dal canto suo pensa invece di stare lavorando in senso opposto.

I soldi spariscono

Nei giorni successivi i truffatori richiamano sempre sotto le mentite spoglie del servizio antifrodi della banca, e chiedono alla vittima di stornare dei bonifici in fase di partenza come conseguenza dell'attacco hacker. La vittima acconsente, senza però sapere che quel che sta facendo è invece dare l'autorizzazione alla partenza del denaro che finirà poi nelle tasche dei veri truffatori. Nel caso della cinquantacinquenne raccontato dal Corriere della Sera, questo passaggio si è ripetuto tre volte: i bonifici confermati sono stati rispettivamente da 16.900, 19.100 e 23.500 euro; la donna si è accorta che i soldi erano spariti davvero solamente quando ha controllato il bilancio del suo conto, pochi giorni dopo.

Quella descritta è una vera e propria truffa basata sull'inganno, che però trae vantaggio da un fattore tecnologico sottovalutato: la possibilità dei truffatori di chiamare chiunque con il numero che desiderano. Operazioni del genere vengono rese possibili da una parte da operatori telefonici VOIP sul suolo straniero che danno questa capacità ai loro clienti, e dall'altra da un sistema di inoltro delle telefonate che lascia correre sul proprio circuito comunicazioni provenienti da numeri già registrati sul suolo nazionale.

Non sorprende che le vittime si fidino istintivamente dei truffatori: quello che vedono associato agli SMS e alle telefonate è il numero salvato in rubrica come quello della propria banca. Avviare questo raggiro insomma richiede solamente alcuni dati personali della vittima, come numero di telefono e nome di banca e filiale: informazioni simili — hanno insegnato episodi come il furto di dati a Ho Mobile — non sono difficili da reperire; le altre le forniscono le vittime cominciando dai moduli presenti nella pagina alla quale rimanda il primo SMS.