BNL per la Sicurezza.

Il phishing è una pratica illegale messa in atto da malintenzionati che contattano gli utenti tramite e-mail, SMS, WhatsApp, telefonate o finte PEC che chiedono generalmente di fornire i seguenti dati:

• Numero e PIN di accesso all’home banking e app
• Codice numerico generato da Mobile Token o OTP inviato tramite SMS
• PIN della carta e/o il codice di sicurezza di tre cifre riportato sul retro della carta (cvc2/cvv2).

I messaggi di phishing sono all'apparenza molto simili, sia per la grafica utilizzata nelle email sia per il contenuto degli SMS inviati o delle comunicazioni al telefono, a quelli della banca e hanno lo scopo di acquisire i dati personali e l'identità digitale degli utenti.

Attraverso questi messaggi, potresti essere invitato a:

• Cliccare su link che puntano a una pagina clone del sito ufficiale della banca
• Scaricare un'app malevola per prendere il controllo del tuo smartphone
• Comunicare in un sito o ad un operatore i tuoi codici personali, i tuoi dati di pagamento e altre informazioni personali.

Fai attenzione: lo scopo di questi messaggi è sempre fraudolento! 

Come riconoscerlo

Il phishing è una tecnica di frode davvero subdola, perché sfrutta i tuoi momenti di distrazione per farti cadere nel tranello.

Ma niente paura: puoi sempre difenderti! Quando ricevi un messaggio o una telefonata controlla sempre:

• Il contenuto: messaggi che parlano di vincite di presunti concorsi, offerte di lavoro, regali, problemi con il conto corrente, scadenza delle password di accesso. Molto spesso il phishing sfrutta questi argomenti per trarti in inganno.
• Link a sezioni operative che imitano quelle della banca: moltissimi messaggi di phishing ti invitano a collegarti alla tua area riservata per sbloccare il conto o regolarizzare la tua situazione bancaria.
• Richiesta in un modulo online o a voce di informazioni riservate: richiesta di dati personali e codici personali, dati anagrafici da aggiornare o movimenti da verificare. Molti messaggi di phishing contengono richieste di questo tipo.

Come  difendersi

Le mail di phishing sono studiate per sembrare il più possibile identiche alle mail inviate dalla Banca. Per valutare l'attendibilità di una mail, ma anche di un SMS o di un messaggio WhatsApp, puoi seguire queste regole:

Controlla l'indirizzo del mittente: diffida di mail con mittenti molto lunghi, caratteri insoliti e che non riportano all'indirizzo “@infobnl.it o @bnlmail.com”

Presta attenzione agli errori nel testo del messaggio: molto spesso i malintenzionati modificano testi inviati dalle aziende per inserire nuovi messaggi e link a siti fraudolenti. Molti di questi falsi messaggi contengono errori di grammatica, di formattazione o di traduzione: la presenza anche di un piccolo errore deve insospettirti!

Link a pagine esterne: le mail inviate da BNL non contengono mai link a pagine o applicazioni esterne in cui sia richiesto di inserire le tue credenziali di accesso o i tuoi dati sensibili. Se ricevi una mail con questo tipo di link, non cliccare: potrebbero condurti a un sito contraffatto, difficilmente distinguibile dall'originale.

Quando inserisci dati riservati in una pagina web, assicurati che si tratti di una pagina protetta e di un sito conosciuto: l'indirizzo deve iniziare con "https://" e non con "http://" e deve essere accompagnato dall'icona del lucchetto, che identifica un sito certificato.

Il vishing (dall’inglese voice + phishing) è una truffa telefonica perpetrata per sottrarre somme attraverso una sofisticata tecnica di adescamento vocale: il frodatore chiama e si finge personale del proprio istituto bancario o delle forze di Polizia che per motivi di sicurezza chiede dati bancari come PIN di accesso al sito o della carta di credito e altri importanti dati bancari che utilizza poi illecitamente.

Il  phishing via telefono arriva anche con un messaggio email, sms o WhatsApp, in cui ti viene chiesto di chiamare un numero di telefono al quale comunicare le tue credenziali di accesso all'area riservata o all'app. Un'altra tecnica di phishing via telefono è utilizzare una chiamata preregistrata in cui si chiede l'immissione e la conferma dei tuoi codici di sicurezza.

In questi casi, ricorda sempre che nessun operatore BNL ti chiederà mai i tuoi dati di accesso (Codice Cliente e PIN) o i numeri delle tue carte di pagamento (PIN e cvc2/cvv2) diffida sempre di queste telefonate e se ne ricevi una, chiama subito l'Assistenza Clienti BNL per segnalarci l'accaduto.

Devi fare particolare attenzione anche alle telefonate in entrata da un numero apparentemente della tua banca, l’ID SPOOFING: una tecnica con la quale i truffatori alterano il numero chiamante per dare maggiore credibilità alle telefonate.

Leggi di più

Questo tipo di frode sfrutta la sempre maggior diffusione dei QR Code (“codici di risposta rapida”), costituiti da pixel in bianco e nero che consentono a chi li scansiona con la fotocamera di accedere rapidamente a link, informazioni di contatto o altro.
I codici QR creati dai truffatori rimandano a URL mascherate e illegittime. Tra le truffe più tipiche ci sono quelle relative a parchimetri, consegne impreviste di pacchi, menu dei ristoranti.
Quando la vittima scansiona il codice QR, viene indirizzata a un sito web falso, dove gli vengono richieste credenziali o informazioni sensibili che verranno utilizzate a scopi malevoli (commettere altri attacchi, rubare identità, iscrivere la vittima a servizi a pagamento, far scaricare malware…).
I truffatori possono anche tentare di contattare i clienti, spacciandosi per dipendenti della Banca, per ottenere ulteriori informazioni.

Come difendersi
Prima di scansionare un codice QR, assicurati che non sia stato manomesso. Se è un adesivo, assicurati che non copra un altro codice QR. La presenza di increspature o bordi sollevati potrebbe indicare che sei in presenza di una truffa.
Controlla il link dell’anteprima del codice QR: per esempio, il codice che trovi in un ristorante dovrà condurti al sito web o al menu del ristorante. Il rimando a un sito web non correlato potrebbe indicare che il codice QR è illegittimo.
Tieni aggiornato il software del telefono, in modo da sfruttare gli ultimi rilasci in materia di correzioni dei bug, nuove funzionalità di sicurezza e miglioramenti generali delle prestazioni del telefono.

"Swapping" è un termine inglese che significa "scambio". L'attacco SIM swapping consiste nella sostituzione della scheda SIM da parte dei frodatori, che ne ottengono illecitamente un duplicato dagli operatori di telefonia mobile.

Le frodi di questo tipo sfruttano eventuali punti deboli nella sicurezza dei processi di identificazione dei clienti da parte degli operatori al momento della richiesta di un duplicato della SIM card, ma anche dalla destrezza dei criminali nel falsificare i documenti di identità e ingannare gli operatori. 

Talvolta i dati personali richiesti dall'operatore per emettere il duplicato della SIM vengono forniti ai criminali dallo stesso utente legittimo, vittima di phishing. 

Una volta in possesso del duplicato della SIM, i criminali informatici prendono il controllo del recapito telefonico della vittima e realizzano operazioni fraudolente con aziende, banche e organismi, sfruttando tutte quelle situazioni in cui lo smartphone diventa strumento di notifica o convalida di operazioni, per esempio attraverso l'invio di password via SMS. 

I frodatori possono anche appropriarsi dei nostri profili social e della posta elettronica, e in generale delle piattaforme in cui lo username o il recupero della password sono collegati al recapito cellulare. 

Come riconoscerle
Lo scambio di SIM è possibile dopo un’attenta analisi della vittima da parte del frodatore e con documenti falsificati per ingannare l’operatore telefonico e favorire il trasferimento del numero. Una volta avvenuto il telefono non può effettuare chiamate o inviare messaggi e si ricevono numerose telefonate tese a far spegnere il telefono per evitarle.

Come  difendersi

Se la linea del tuo telefono perde segnale inaspettatamente e rimane irraggiungibile o se ricevi frequenti telefonate inopportune ti consigliamo di:

• contattare il tuo gestore telefonico per una pronta verifica sulla SIM
• verificare i movimenti del tuo conto corrente in caso di operazioni sospette. 

In caso di sospetto SIM Swap contatta l'Assistenza Clienti per segnalare la situazione e ricevere supporto. 

I trojan sono una delle forme più insidiose di malware (“malicious software”, ossia “software malevolo”): come il cavallo di Troia appaiono innocui, ma nascondono al loro interno un nemico in grado di provocare gravi danni.
Usando tecniche di phishing o social engineering, i criminali inducono la vittima a scaricare il file infetto, nascosto in programmi gratuiti, allegati alle email, videogiochi, applicazioni e film. Una volta installato inconsapevolmente dall’utente, il trojan agisce in silenzio e permette agli hacker di bloccare, modificare o cancellare i dati, o rubare informazioni sensibili.

Come riconoscerli

Alcuni segnali possono indicare che un dispositivo è stato infettato da malware:

• le connessioni non funzionano correttamente: il malware sta innescando sessioni "false", riducendo la larghezza di banda e impedendo o rallentando l'accesso a Internet
• il sistema operativo si blocca o si riavvia involontariamente
• iI programmi girano in modo casuale o si chiudono inaspettatamente
• si aprono popup o finestre con messaggi insoliti
• il disco rigido del computer ha una capacità ridotta e lavora costantemente, anche quando non è in uso
• nel browser si aprono schede indesiderate senza il tuo intervento
• l'antivirus installato è parzialmente o completamente disabilitato e perde funzionalità
• la homepage predefinita del browser viene sostituita senza il tuo intervento.

Come difendersi

Mantieni aggiornato il sistema operativo, il browser e le applicazioni su tutti i dispositivi.

Installa un software antivirus o antimalware sui tuoi dispositivi e tienilo sempre aggiornato e funzionante.

Quando colleghi una chiavetta USB (o altro tipo di memoria esterna) ai tuoi dispositivi, sottoponila alla scansione del tuo antivirus per verificarne la sicurezza. In ogni caso, non utilizzare memorie esterne di dubbia provenienza.

Non aprire gli allegati delle email se la fonte non è affidabile.

Attiva i filtri di sicurezza dei gestori di posta elettronica e dei browser, in modo da avere evidenza di eventuali anomalie.

Non scaricare programmi da siti web sconosciuti: controlla la loro URL e verifica che inizi con “https”.

Scarica le applicazioni dai negozi ufficiali (Play Store e App Store). Prima di scaricare un'app, leggi le recensioni di altri utenti che la utilizzano, non ti fidare di quelle che raccolgono commenti negativi.

Utilizza un gestore di password: si tratta di software che, archiviando in modo sicuro e crittografato le tue credenziali, ti permettono di accedere ai servizi web senza che tu debba inserire fisicamente le credenziali o salvarle sul browser.

Alcune tecniche di phishing mirano a sottrarre le credenziali delle reti Wi-Fi, consentendo quindi la possibilità di attacchi informatici. I criminali creano un finto punto di accesso con le caratteristiche di quello vero, forzano la disconnessione dell’utente collegato alla rete e lo spingono a connettersi al finto punto di accesso reinserendo le password di sicurezza per un aggiornamento del router Wi-Fi.
Una volta che il dispositivo si connette alla rete, i frodatori hanno la possibilità di accedere ai dati sensibili immessi dalla vittima e di infettare il suo dispositivo con software malevoli. Nei casi più estremi, il malcapitato può subire un vero e proprio furto d’identità digitale, e consegnare ai criminali immagini, video, pagine web, post di blog, profili e post sui social media, indirizzi IP o indirizzi email.

Come riconoscerlo

È il caso di allarmarsi quando si verificano disconnessioni improvvise della rete Wi-Fi, senza motivi concreti, se la connessione risulta troppo lenta, se luci del router lampeggiano anche quando non stai usando la connessione.

Come difendersi

Ti consigliamo di collegarti alle reti Wi-Fi solo quando sono private e sicure, protetta dal sistema WPA2. Le reti pubbliche WI-Fi e la funzione Bluetooth del tuo dispositivo mobile dovrebbero essere sempre disattivate prima di effettuare l'accesso alla tua app di mobile banking. Anche nei grandi spazi pubblici ci potrebbero essere attività di frode legate all’accesso a reti non sicure.

Altri consigli utili: quando ti colleghi a un Wi-Fi pubblico, non entrare mai in account privati; usa una VPN per proteggere il traffico; naviga sempre su siti che usano il protocollo HTTPS; accedi ai siti privati utilizzando sempre l’autenticazione a due fattori.

Le truffe online sfruttano sempre di più i bonifici istantanei, per i quali è più complicato, quando non impossibile, recuperare il denaro una volta che l’operazione è stata eseguita. Infatti, mentre per i bonifici ordinari il reparto antifrode di BNL ha il tempo di intervenire e bloccare eventuali pagamenti sospetti, con i bonifici istantanei e con quelli urgenti allo sportello questo tempo di azione si riduce drasticamente: una volta effettuato il bonifico istantaneo, l'unico modo per recuperare il denaro è ottenere il consenso del destinatario.

Come difendersi

Nelle truffe tramite bonifico bancario i truffatori inducono con l'inganno la vittima a trasferire denaro, spesso spacciandosi per banche, professionisti, enti pubblici, esercenti…
La prima regola per difendersi da queste frodi è verificare attentamente i mittenti delle email, perché dietro il nome di un contatto noto può celarsi un indirizzo email diverso da quello salvato in rubrica. Se le indicazioni per il pagamento sono state inviate via email, è anche consigliabile farsi confermare l’IBAN telefonicamente ai contatti abituali.

Queste frodi avvengono tramite una email, un fax, una lettera o una telefonata da parte di qualcuno che finge di rappresentare un fornitore/prestatore di servizi/creditore. Il truffatore chiede che vengano modificate le coordinate bancarie per il pagamento (ad es. i dettagli del beneficiario del conto bancario) delle prossime fatture. Il nuovo conto suggerito è in realtà controllato dal frodatore.

Come riconoscerle
Un campanello di allarme è la ricezione di comunicazioni da parte di contatti aziendali o personali diversi da quelli solitamente utilizzati dal mittente.

Come difendersi
Verifica sempre la provenienza di queste richieste contattando direttamente il presunto mittente con una telefonata.

Comunica la ricezione della fattura al mittente utilizzando i dati di contatto in tuo possesso e non quelli nuovi indicati nella comunicazione di richiesta di modifica delle coordinate bancarie.

Non eseguire mai un pagamento senza verificare i dati della fattura che ricevi.

Rivolgiti comunque alle Forze dell'Ordine in casi sospetti.

Sono frequenti i casi di telefonate, talvolta provenienti dall'estero o da voci registrate, che propongono ottime possibilità di investimento su strumenti finanziari.

Come riconoscerle
La proposta fatta dall'operatore telefonico promette un guadagno importante rispetto al mercato, ma è valida per un periodo limitato e non condivisibile con nessuno.

Come difendersi
Chiedi sempre il parere del tuo consulente di investimento sull’offerta ricevuta, non trasferire denaro senza le opportune verifiche sull’operatore finanziario. Segnala anche alle Forze dell'Ordine eventuali tentativi di frode di questo tipo.

Leggi di più

Il social engineering è, il presupposto per molte truffe. Consiste nel manipolare le persone toccando leve psicologiche e comportamentali per carpire informazioni confidenziali. Si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.

Il Social Engineering si distingue dalle altre modalità di cybercrime per una particolarità: non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone, presi di mira in qualità di clienti o dipendenti di un’azienda, oppure per le loro specifiche caratteristiche individuali, e si esplica in numerosi tipi diversi di frodi.

Il Money Muling è una pratica illegale di riciclaggio di denaro, attuata da criminali informatici per "ripulire” i ricavi ottenuti per esempio da truffe online.

Le vittime vengono solitamente reclutate attraverso annunci di lavoro apparentemente innocui e molto allettanti, veicolati su siti web, social media o contatti diretti. Facendo leva sul bisogno, i truffatori ingaggiano queste persone ignare e in cerca di lavoro: i "money mules" offrono la propria identità per l’apertura di nuovi conti correnti, sui quali viene versato il denaro ricavato dalle frodi informatiche.

Come difendersi
Quando si è alla ricerca di un lavoro, bisogna essere molto cauti quando le informazioni sono poco chiare, soprattutto se provengono da social network, e-mail o contatti inaspettati tramite applicazioni di messaggistica istantanea.

Non accettare proposte di lavoro che prevedono la ricezione di bonifici sul tuo conto corrente da rigirare poi su altre banche: il riciclaggio di denaro è un reato!

In caso di ricezione di un’e-mail sospetta, non cliccare sui link e cerca informazioni più precise sulla società che propone l’offerta. Inoltre, non fornire in alcun caso i codici di accesso alle tue applicazioni bancarie a sconosciuti.

Se un'opportunità sembra troppo bella per essere vera, probabilmente non lo è!