Come evitare le truffe di furto d'identità in banca

Nel momento in cui Lauren* ha sentito la voce dall'altra parte del telefono, ha capito esattamente chi fosse.

"Il mio cuore batteva all'impazzata, riuscivo a malapena a respirare. Non riuscivo a credere che fosse lui. Ero tipo: 'Oh, mio ​​Dio, lo sta ancora facendo. Non solo ha i miei soldi, ma ci sta riprovando'".

Era marzo 2023 e Lauren si era appena resa conto che stava parlando con lo stesso uomo che, secondo lei, l'aveva defraudata di quasi $ 5000 l'anno precedente.

Era stato un caso da manuale di frode per furto d'identità in banca e ora il truffatore era tornato per saperne di più.

Una truffa convincente

Lauren era diffidente quando l'uomo l'ha chiamata per la prima volta a dicembre, fingendosi un membro del team antifrode della Bendigo Bank, la società madre della sua banca, Up.

"Ero decisamente un po' sospettoso, ma ha trascorso 90 minuti al telefono con me, stabilendo un rapporto... è stata una manipolazione molto lunga", ricorda il 38enne Victorian.

Sembrava sapere tutto sul mio conto. Sapeva qual era l'importo totale dei miei risparmi

Vittima della truffa Lauren

L'uomo, che parlava con un "sofisticato accento inglese", ha detto a Lauren transazioni sospette sulla sua carta - un problema che aveva risolto con la sua banca due giorni prima – in realtà facevano parte di un problema più ampio e tutti i suoi risparmi erano ora a rischio.

Lauren dice che la capacità del truffatore di inviare messaggi SMS che sembravano provenire dalla Bendigo Bank l'ha convinta a seguire le sue indicazioni. Fonte: fornito.

"Sembrava sapere tutto sul mio account. Sapeva qual era l'importo totale dei miei risparmi", spiega, dicendo che questo ha contribuito ad abbattere il suo scetticismo iniziale.

Ma è stata la capacità dell'uomo di inviarle messaggi di testo con codici di autenticazione da un account "Bendigo" che ha svolto un ruolo importante nel convincerla che la chiamata era autentica.

"Penso che il fatto che Bendigo fosse al vertice sia stato il [fattore] principale. E poi [corrispondeva] al codice che ha dato... Ha attribuito molta importanza a questo. [Ha detto] che la banca aveva speso milioni di dollari per poter inviare messaggi del genere", ricorda.

Influenzata dai messaggi di testo e sotto pressione dalla voce al telefono per risparmiare i suoi soldi inviando su un nuovo account, Lauren ha trasferito poco meno di $ 5000 dal suo account, che non è mai stato più visto.

Parte di una tendenza "allarmante".

Le truffe di impersonificazione bancaria, in cui i truffatori dirottano l'ID del chiamante e del mittente dell'SMS delle banche, sono l'ultima truffa a devastare un pubblico stanco delle frodi.

La truffa di solito inizia con messaggi di testo che sembrano provenire dalla banca di una vittima che, per aggiungere altro confusione, spesso compaiono nello stesso thread e sotto testi legittimi da quella finanziaria istituzione.

I messaggi di testo sono spesso avvisi di attività sospette nell'account di un bersaglio e sono seguiti da telefonate sui numeri impersonando linee di frode bancaria, chiedendo alle vittime di trasferire denaro su un nuovo conto (controllato dal truffatore) per salvarlo dal presunta violazione.

Il metodo, che l'ACCC ha descritto come "allarmante", "elaborato" e "difficile da rilevare", richiede un tributo finanziario più pesante rispetto alla maggior parte delle truffe, spesso prosciugando le persone dei risparmi di una vita.

Con perdite in media di $ 22.000 in ogni caso e fino a $ 800.000, questo tipo di frode ha derubato gli australiani di oltre $ 20 milioni nel 2022

Con perdite in media di $ 22.000 in ogni caso e fino a $ 800.000 o più, questo tipo di frode ha derubato gli australiani di oltre $ 20 milioni nel 2022.

Quel bilancio è arrivato in un anno in cui le perdite derivanti da tutti i tipi di truffe sono aumentate dell'80% raggiungendo i 3,1 miliardi di dollari e quando, secondo l'ACCC, gli australiani erano nervosi e pronti ad agire in caso di allerta sulle minacce alle loro informazioni personali e alle loro risorse a seguito dei dati di Optus e Medibank violazioni.

Questo è stato il caso di Lauren, che era incline a seguire le istruzioni del chiamante, sapendo di essere a rischio di essere hackerata seguendo la saga di Medibank.

"Avevo scoperto solo poche settimane prima di essere uno dei clienti i cui dettagli erano trapelati... Stava giocando nella mia mentalità in quel momento. Ho pensato: 'Beh, qualcuno ha tutti i miei dati, quindi devo seguire il suo consiglio'".

Le truffe di furto d'identità della banca di solito iniziano con messaggi SMS che sembrano provenire dalla tua banca, avvisandoti di presunte attività sospette nel tuo account.

Truffatori aiutati da una scarsa sicurezza degli SMS

Gli esperti di sicurezza informatica affermano che i truffatori sono in grado di eseguire questa forma di frode di phishing grazie alle vulnerabilità nelle reti che molti di noi utilizzano per comunicare.

La messaggistica SMS, ad esempio, esiste da oltre 30 anni, il che ne rende facile l'abuso, afferma docente senior di sicurezza, la dott.ssa Suranga Seneviratne della scuola di informatica dell'Università di Sydney scienza.

"Uno dei motivi per cui l'SMS è sopravvissuto finora è la sua usabilità e semplicità... [Ma] non è stato progettato pensando alla sicurezza", spiega. "Non c'è alcuna autenticazione integrata, quindi se sto inviando un messaggio, posso manipolare alcuni dei metadati."

Un pezzo di metadati che può essere manipolato è l'ID del mittente: i nomi o i numeri che emergono all'inizio di un thread di messaggi - e questo può essere fatto quando si invia un'applicazione a persona (A2P) messaggi.

Uno dei motivi per cui l'SMS è sopravvissuto finora è la sua usabilità e semplicità... [Ma] non è stato progettato pensando alla sicurezza

Dott.ssa Suranga Seneviratne, Università di Sydney

A differenza dei messaggi inviati da un telefono all'altro, i messaggi A2P vengono inviati da un computer che esegue un determinato portale o software a un numero di telefoni.

Lo scorso giugno, l'Australian Communications and Media Authority (ACMA) ha emanato nuove regole che dicono telecomunicazioni e altri trasporti i fornitori di servizi (CSP) dovrebbero verificare che i mittenti di messaggi A2P abbiano il diritto di utilizzare gli ID mittente che stanno distribuendo i messaggi Sotto.

Tuttavia, il dottor Mohi Ahmed, docente senior di informatica e sicurezza presso la Edith Cowan University, è scettico sul fatto che i numerosi servizi che ospitano la messaggistica A2P verifichino effettivamente i propri utenti.

"Questi messaggi vengono inviati da un software che non richiede la verifica dell'identità [del mittente]", afferma.

"Chiunque può scrivere una combinazione di testo o numeri nel proprio ID mittente e non possiamo davvero controllarlo."

In segno di standard in ritardo da parte di alcuni CSP, l'ACMA a maggio ha emesso avvertimenti formali a diversi per non aver verificato adeguatamente il identità dei mittenti di SMS e consentire l'invio di più di 100.000 messaggi con ID mittente che impersonano pedaggi stradali e postali aziende.

Il thread danneggiato rende la truffa più convincente

Dopo aver inviato un SMS con un ID falso, i truffatori vengono spesso assistiti dall'app dei messaggi del telefono ricevente, che di solito unisce i messaggi provenienti dallo stesso ID mittente.

"Troverà che tutti i testi sono nello stesso thread. Quindi è davvero difficile distinguere tra quale sia legittimo e quale no", spiega Ahmed.

Questa particolare capacità dei truffatori di inserire i propri messaggi in thread legittimi è ciò che sta cogliendo molti alla sprovvista

L'ACCC avverte che questa particolare capacità dei truffatori di inserire i propri messaggi in thread legittimi è ciò che sta cogliendo molti alla sprovvista.

La Commissione ha condiviso le storie di persone per le quali questa caratteristica della tecnologia SMS si è rivelata un fattore decisivo per essere ingannati dal phishing di impersonificazione.

Una vittima descritta nel Targeting Scams Report dell'ACCC ha perso oltre $ 300.000 dopo che un SMS truffa che li esortava a chiamare un numero per discutere di un prestito è apparso sotto precedenti messaggi legittimi dalla loro banca.

Lo spoofing delle telefonate sigilla il furto

Nelle loro aperture iniziali alle vittime tramite SMS, gli imitatori di banche spesso includono un numero di telefono, che collegherà l'obiettivo a qualcuno che si atteggia a membro del team antifrode di una banca.

In altri casi, i truffatori chiameranno a freddo gli obiettivi e utilizzeranno il metodo SMS per dissipare qualsiasi preoccupazione della vittima sulla legittimità del chiamante.

In entrambi i casi, i truffatori sono in grado di modificare il proprio ID chiamante con il numero di telefono di una banca sovrastampando o "spoofing" della loro identificazione della linea chiamante (CLI) – qualcosa reso possibile dal protocollo Voice-over-Internet (VoIP) Software.

Gli imitatori di banche spesso includono un numero di telefono, che collegherà l'obiettivo a qualcuno che si spaccia per un membro del team antifrode di una banca

Questo è illegale solo se viene fatto per motivi illegali, ma l'ACMA sta esaminando sempre più la pratica, introducendo nuove regole indirizzare le società di telecomunicazioni a fare più controlli per assicurarsi che non stiano trasportando chiamate da parte di utenti che falsificano il loro ID chiamante su un numero di cui non hanno il diritto usare.

Gli esperti di computer con cui abbiamo parlato ci hanno detto che questo è stato efficace nel fermare molti imitatori, ma le storie di coloro che sono stati derubati dei loro risparmi indicano che alcuni riescono ancora a passare.

I servizi economici forniscono un facile guadagno

Gli esperti affermano anche che SMS e servizi telefonici economici si stanno combinando con una proliferazione di numeri trapelati venduti a prezzi modesti online, anche nel dark web, per rendere la frode di furto d'identità in banca una prospettiva promettente truffatori.

"Il costo è piuttosto basso per loro", afferma Seneviratne. "Utilizzando queste piattaforme, possono raggiungere un gran numero di abbonati e, se uno o due si convertono, probabilmente stanno già coprendo i costi".

Una proliferazione di numeri trapelati venduti a prezzi modesti online, anche nel dark web... rendere la frode di furto d'identità in banca una prospettiva promettente per i truffatori

Con l'ampio mercato di vittime offerto da queste piattaforme di chiamate e messaggistica, aggiunge, i truffatori di impersonificazione di solito non lo sono si rivolgono a persone specifiche, ma sperano invece solo di raggiungere un numero sufficiente di clienti del marchio che fingono di raggiungere rappresentare.

"Se invii 100.000 messaggi, in base alla quota di mercato ci sarà almeno il 20% che sono di fatto clienti di una grande banca. Oltre a ciò, ci saranno alcuni clienti in cui le circostanze sono giuste [affinché credano]".

Come individuare ed evitare le truffe di impersonificazione

La buona notizia è che ci sono strategie che i consumatori possono implementare per mitigare il rischio di cadere per messaggi o chiamate fasulli.

Come punto di partenza, Senevritane dice di diffidare di qualsiasi SMS che pretenda di condividere informazioni importanti.

"Non fidarti di nulla che arriva tramite SMS", dice. "Se vuoi intraprendere un'azione, verifica tramite canali diversi."

Questi potrebbero includere l'app per smartphone o il sito Web della tua banca o una telefonata a un rappresentante del servizio clienti tramite un numero che hai trovato tu stesso.

Un consiglio simile è proposto dall'ACCC, che mette in guardia dal fare clic su collegamenti o numeri di telefono che ricevi tramite SMS che sembrano provenire dalla tua banca.

Versione accessibile solo testo

Il cane da guardia del consumatore afferma che i testi di impersonificazione a volte possono distinguersi dai messaggi legittimi in un thread a causa di parole o frasi diverse. Dice anche di essere attenti al fatto che la maggior parte cercherà di suscitare il panico.

"È fondamentale ricordare che non importa quanto sembri legittimo la chiamata o il messaggio, una banca non ti chiederà mai di trasferire urgentemente fondi", afferma un portavoce.

Riaggancia se ricevi una chiamata da qualcuno che afferma di essere della tua banca che ti chiede di trasferire denaro per "tenerlo al sicuro" e richiama la tua banca utilizzando i dettagli di contatto che hai trovato in modo indipendente

portavoce ACC

"Riaggancia se ricevi una chiamata da qualcuno che afferma di essere della tua banca e ti chiede di effettuare un bonifico denaro per 'tenerlo al sicuro' e richiamare la tua banca utilizzando i dettagli di contatto che hai trovato in modo indipendente."

Cosa si sta facendo per fermare le truffe di furto d'identità in banca

Diverse grandi banche hanno già adottato misure per contrastare i truffatori che impersonano i loro marchi.

La Commonwealth Bank, ad esempio, ha introdotto CallerCheck, che consente al personale della banca che è al telefono con a cliente di attivare un avviso nell'app bancaria per smartphone del cliente per verificare che la chiamata provenga dal prestatore.

Ahmed afferma che questi sviluppi sono positivi, ma sostiene che mettono ancora l'onere sul cliente stesso di separare i fatti dalle frodi.

"Questo è un processo efficace; tuttavia, dipende dagli utenti", afferma. "La vera soluzione è un registro dei mittenti SMS o un registro dei chiamanti."

L'Australia si prepara a ottenere un registro ID mittente SMS

Fortunatamente, non è troppo lontano. Nel bilancio di maggio, il governo federale ha annunciato l'intenzione di dare all'ACMA 10,9 milioni di dollari per istituire un registro di ID mittente SMS australiano, dopo che sistemi simili sono stati istituiti nel Regno Unito ea Singapore.

Secondo un modello preso in considerazione, afferma il governo federale, le organizzazioni che inviano messaggi di massa al pubblico potranno registrare i propri gli ID del mittente con il corpo e le telecomunicazioni avranno quindi accesso all'elenco e dovrebbero bloccare i messaggi provenienti da fonti non associate a quello identità del mittente.

Il governo federale ha annunciato l'intenzione di dare all'ACMA 10,9 milioni di dollari per istituire un registro di ID mittente SMS australiano

Gli esperti informatici con cui abbiamo parlato affermano che il registro costituirà un "secondo livello di difesa" contro messaggi SMS di impersonificazione in situazioni in cui i servizi A2P non verificano correttamente l'identità di i loro utenti.

Allo stesso modo, l'ACCC accoglie con favore lo schema come un passo avanti nella lotta contro le truffe e ci ha detto che vorrebbe vedere il registro australiano implementato in modo simile a quello di Singapore.

Istituito nel marzo dello scorso anno, il registro degli ID mittente di Singapore (SSIR) ha facilitato una riduzione del 64% dei messaggi SMS fraudolenti.

Il registro degli ID mittente di Singapore ha facilitato una riduzione del 64% dei messaggi SMS fraudolenti

L'SSIR è iniziato come uno schema volontario, ma nell'ottobre 2022 è stato annunciato che i marchi che desiderano inviare messaggi di massa avrebbero dovuto registrarsi. Da gennaio, qualsiasi SMS proveniente da un ID non registrato è accompagnato da un disclaimer "Likely-SCAM".

Quando abbiamo chiesto all'ACMA se intendeva seguire l'esempio di Singapore, ci ha confermato che era vicino contatto con le autorità di regolamentazione della nazione insulare, ma ha detto che era troppo presto per discutere i dettagli del registro.

Il regolatore ha anche sottolineato l'importanza di rendere qualsiasi modello "adatto allo scopo nel contesto australiano unico".

Il registro non è una soluzione completa

CHOICE concorda che un registro è una buona idea, ma avverte che non frenerà le frodi per le quali un numero irriconoscibile è la chiave della narrazione del truffatore, come la truffa "Ciao mamma".

"Un registro ID SMS è un passo importante nella giusta direzione, ma non impedirà tutte le truffe di impersonificazione", afferma Alex Söderlund, consigliere senior per le campagne e politiche di CHOICE.

"Abbiamo sentito da un certo numero di persone che sono state vittime di truffe di impersonificazione che non sembravano coinvolgere lo spoofing del numero di telefono. E molti si sono sentiti delusi dalla risposta della loro banca dopo aver segnalato una truffa".

Abbiamo sentito diverse persone che sono state vittime di truffe di furto d'identità che non sembravano coinvolgere lo spoofing del numero di telefono

CHOICE senior campagne e consulente politico Alex Söderlund

Lauren è una di quelle che si sente delusa dalla sua banca dopo la sua esperienza con la truffa.

La seconda chiamata del suo truffatore è arrivata mentre si stava stancando di cercare di negoziare con le banche coinvolte per cercare di riavere i suoi soldi.

"Ho detto: 'Mi devi $ 5000, mi hai già fatto questo e la tua registrazione è una merda, perché l'hai già fatto.' Sono impazzito con lui finché non ha riattaccato".

Accoglie con favore la promessa del governo federale di un registro SMS come una "grande idea", ma dice che lo farebbe hanno anche apprezzato vedere la sua banca Up fare di più per avvisare i clienti di possibili truffe di impersonificazione.

"Up Bank non mi ha mai avvisato. Anche quando li ho richiamati e ho detto che lo stava ancora facendo, la prossima volta che sono entrato nell'app non ho ricevuto alcun avviso".

Up ha detto a CHOICE di essere "a conoscenza e di lavorare sodo per prevenire un livello crescente di attività di truffa" e di aver distribuito "materiale educativo sulle truffe" ai clienti tramite la sua app e altri canali.

*Non è il suo vero nome.

Immagini Stock: Getty, se non diversamente specificato.

Per condividere i tuoi pensieri o porre una domanda, visita il forum della community CHOICE.

Visita la Comunità SCELTA