Non c'è "frode bancaria istantanea", è una notizia falsa!
Una bufala sui social media "frode bancaria istantanea" è recentemente riapparsa nel Regno Unito. Non sembra esserci alcun piano nefasto particolare dietro di esso. L'unico scopo riconoscibile della bufala è spaventare le persone e sprecare il loro tempo. Il messaggio si è diffuso attraverso i social media e i testi. Come è consuetudine per le bufale, le persone dietro cercano di fingere legittimità facendo appello all'autorità. In questo caso, fanno riferimento all'account Twitter della polizia di Londra. Questa mossa ha fallito in un certo senso poiché la polizia della City di Londra ha affrontato la bufala quasi immediatamente.
Siamo a conoscenza di una voce che circola tramite WhatsApp, SMS e social media che fa riferimento a @CityPoliceFraud secondo cui i clienti delle banche sono presi di mira dalla truffa #smishing di seguito.
Il contenuto di questo messaggio è falso. pic.twitter.com/eLVM4tnYEi
- Action Fraud (@actionfrauduk) 10 novembre 2020
Come affermato nel tweet, questa non è la prima volta che si diffonde una bufala come questa. Un messaggio molto simile stava facendo il giro a marzo. Le affermazioni fatte allora erano false quanto lo sono ora.
C'è, tuttavia, una campagna di smishing (phishing tramite SMS) che probabilmente ha scatenato l'idea della bufala. I ricercatori di Sophos hanno notato la campagna e hanno esaminato diversi motivi per cui la "frode bancaria istantanea" è una bufala. La campagna smishing utilizza messaggi camuffati da notifiche da operatori di telefonia mobile per problemi con l'ultimo pagamento del destinatario. Secondo quanto riferito, sembrano legittimi tranne per la seconda parte dell'URL.
"(O2): non abbiamo ricevuto il tuo recente pagamento della fattura, aggiorna i tuoi dati su https://o2.uk.xxxxxxx.com/?o2=2 per evitare costi aggiuntivi"
I ricercatori di Sophos hanno affermato che il collegamento porta a una pagina falsa fatta per sembrare una pagina di accesso legittima per il provider corrispondente. Chiunque abbia seguito il collegamento e inserito il proprio nome utente e password reali ha inviato le proprie credenziali ai criminali che gestiscono la campagna di smishing. Anche in questi casi, le vittime hanno ceduto solo le proprie credenziali per il sito web del vettore. A meno che le potenziali vittime non utilizzino la stessa password per più account, compresi quelli critici come il settore bancario, non c'è pericolo che i loro conti bancari vengano svuotati o addirittura acceduti dai criminali. Tuttavia, le conseguenze di una tale grave cattiva gestione di account e password possono essere disastrose.
Anche lo scenario peggiore per i destinatari di un messaggio smishing non si avvicina alle affermazioni del messaggio bufala. Non c'è pericolo per coloro che hanno appena visualizzato il messaggio, anche se non lo hanno cancellato in seguito. Se qualcuno ha aperto il testo e ha seguito il collegamento ma non ha inserito le proprie credenziali, il massimo che i criminali possono uscirne è sapere che la persona ha aperto la pagina.
Anche se non esiste una "frode bancaria istantanea", tutti dovrebbero cercare di utilizzare le migliori pratiche nella gestione dei propri account. Si sconsiglia di utilizzare la stessa password per più account. Né si immettono le proprie credenziali sui siti Web raggiunti tramite un collegamento fornito in un testo o in un'e-mail. Tutti dovrebbero usare 2FA (autenticazione a due fattori) quando possibile. Diffondere informazioni false su minacce inesistenti non è una best practice.