Frodi informatiche: le tipologie più diffuse

Le frodi informatiche collegate ai sistemi di pagamento rappresentano oggi un fenomeno in costante evoluzione, sempre più sofisticato e insidioso, capace di colpire anche gli utenti più accorti. Di seguito, sono indicate le principali tipologie.

Tra le tecniche più diffuse, il phishing continua a costituire un caposaldo della frode digitale. Si tratta di un inganno accuratamente progettato per indurre gli utenti a rivelare dati sensibili – numero di conto, password, codici di accesso – mediante comunicazioni che riproducono in modo estremamente verosimile le forme ufficiali delle banche e degli istituti di pagamento. È sufficiente un’e-mail apparentemente credibile, un link solo in apparenza innocuo o un messaggio su WhatsApp: un singolo clic può determinare l’ingresso nella trappola.

Questa pratica costituisce una frode “classica”, invero riconoscibile in presenza di un minimo livello di attenzione da parte del cliente, anche grazie alle ormai diffuse campagne di sensibilizzazione.

Oggi, tuttavia, il phishing assume declinazioni ancora più insidiose: lo smishing, diffuso tramite SMS, e il vishing, che sfrutta il contatto telefonico. Le due modalità spesso agiscono in combinazione: un messaggio d’allarme anticipa la telefonata del presunto “operatore”, che persuade la vittima a fornire dati personali o ad autorizzare operazioni di pagamento.

Se il phishing si fonda sull’imitazione, lo spoofing rappresenta un ulteriore salto di qualità: la manipolazione riguarda l’origine stessa della comunicazione. Il truffatore altera le informazioni del mittente per far apparire il messaggio o la chiamata come proveniente realmente dalla banca o da un interlocutore affidabile. Le forme più diffuse sono l’SMS spoofing e il vishing caller ID spoofing. Nel primo caso, i messaggi fraudolenti possono mescolarsi a quelli autentici, condividendo il medesimo thread (sequenza di SMS) di comunicazione. Nel secondo, il numero visualizzato sul display viene falsificato, rendendo estremamente difficile distinguere la truffa da un contatto legittimo.

Una variante evoluta del vishing è il cosiddetto Boxing: qui, il truffatore intercetta la carta di pagamento direttamente nella cassetta postale del titolare, unitamente ai dati personali del cliente. Pur non essendo elemento sufficiente a compromettere lo strumento, tale sottrazione necessita delle credenziali di autorizzazione dei pagamenti, che l’impostore ottiene tramite tecniche raffinate di social engineering.

In questa forma di attacco, il truffatore si presenta come operatore dell’istituto finanziario, sfruttando informazioni riservate per acquisire credibilità. Le telefonate appaiono legittime, i messaggi risultano convincenti e la vittima, inconsapevole, fornisce PIN e codici temporanei, completando così il mosaico necessario alla consumazione della frode.

Ne scaturisce un connubio perfetto tra abilità tecnica e manipolazione psicologica: la carta fisica e i dati sottratti durante la spedizione, combinati con le credenziali ottenute con l’inganno, consentono al truffatore di effettuare prelievi o acquisti non autorizzati.

 Queste tecniche, oltre a sottrarre informazioni riservate, possono consentire l’installazione di malware nei dispositivi delle vittime, garantendo ai criminali un accesso remoto a dati e transazioni.

Si segnalano anche il card trapping, in cui la carta viene fisicamente trattenuta nel bancomat da un dispositivo manomesso e successivamente recuperata dal truffatore, e il cash trapping, consistente nell’inserimento di un dispositivo che trattiene fisicamente le banconote durante l’erogazione, impedendo all’utente di prelevarle.

Tra le frodi in più rapida crescita si colloca il SIM Swap (o SIM Scam), che coniuga abilità informatica e social engineering. Il truffatore si procura una copia del documento d’identità della vittima – spesso mediante software “spia” – e si presenta al gestore telefonico fingendosi il legittimo titolare. In tal modo ottiene un duplicato della SIM, intercettando chiamate, messaggi e, soprattutto, le OTP (One-Time Password) necessarie per la conferma delle operazioni bancarie. La vittima viene così esclusa dal proprio numero di telefono, mentre il truffatore acquisisce pieno controllo della relativa identità digitale.

Ancora più sofisticate, infine, ma altrettanto pericolose, sono le truffe note come Man in the Browser (MITB) e Man in the Middle (MITM). Nel primo caso, un malware infetta il browser del computer della vittima, alterando le operazioni bancarie senza che l’utente abbia alcuna percezione dell’attacco: la pagina web appare autentica, ma i dati vengono indirizzati a terzi. Nel secondo, l’aggressione si colloca letteralmente “nel mezzo” della comunicazione: l’hacker si interpone tra due interlocutori, fingendosi l’uno con l’altro, intercettando e potenzialmente modificando i messaggi scambiati.