Conto svuotato con truffa telefonica

Completamente d'accordo, oggigiorno c'è questa follia di volere fare tutto ma proprio tutto con il cellulare anche quando questo compromette la sicurezza. Il reset della password andrebbe sempre fatto con invio di una nuova password tramite posta cartacea.
Sì, magari trasportata da una carovana trainata da due cavalli, la carovana-poste-italiane..
Nel frattempo stai una settimana senza operare o con una password magari non sicura perché devi aspettare il ̶c̶o̶c̶c̶h̶i̶e̶r̶e̶ corriere...? :rolleyes:

A mio avviso consigliare o preferire queste prassi ottocentesche in nome della sicurezza significa non avere la minima cognizione di sicurezza informatica, anche basilare, e di come utilizzarla per sfruttare i vantaggi della tecnologia. Tra l'altro almeno per quanto mi riguarda non faccio proprio niente "tutto con il cellulare", anzi opero quasi esclusivamente da pc sia per operazioni bancarie che per il semplice controllo delle email.

Con questa storia dei problemi di privacy a mostrare la propria faccia ad un operatore della banca siamo proprio alle comiche, i problemi di privacy al massimo se li fa il malfattore che ha fatto un sim swap e vuole fare anche il reset della password per svuotare il conto alla vittima, non se li fa il correntista. La banca conosce già morte e miracoli del correntista, faccia compresa. Oltretutto questa videochat per resettare la password è una cosa che si fa solo al bisogno, se si perde la propria password, a molti non capiterà mai nella vita (a me non è mai successo).
Per me le comiche sono ben altro, dai per scontato che un malfattore abbia già portato a termine un sim-swap (prassi non credo così banale, scontata o frequente come pensi), e soprattutto che non passi da un secondo fattore di autenticazione o da un operatore che ti identifichi al telefono (con la videochiamata che vi piace tanto, ma anche solo con le domande e il numero di documento, a meno che il malfattore non abbia rubato anche quello).

Poi, al di là della reale, o meno, necessità di una videoidentificazione, abbiate rispetto delle opinioni altrui in merito a questo, dato che ciò che può risultare buono per te non è detto che lo sia anche per altri, e non credo di essere il solo a non condividere per niente questa cosa.

A te non è mai capitato di perdere la password? Complimenti, che dirti, però chiedi ad un operatore di banca quanta gente perde o dimentica le sue password, e poi ne riparliamo...
 
Sei sicuro di non dirle tu le corbellerie? Anche se un IP è dinamico, quel determinato IP è assegnato ad un ISP preciso che associa ogni volta l'ip nuovo ad una linea (che avrà pure un intestatario, non pensi?)
Manco per niente. A volte è così e a volte no. Alcuni operatori, soprattutto per le linee mobili ma non solo, associano uno stesso ip pubblico contemporaneamente a più linee di intestatari diversi. La loro rete funziona a livello più o meno esteso come una lan locale.
 
Sì, magari trasportata da una carovana trainata da due cavalli, la carovana-poste-italiane..
Nel frattempo stai una settimana senza operare o con una password magari non sicura perché devi aspettare il ̶c̶o̶c̶c̶h̶i̶e̶r̶e̶ corriere...? :rolleyes:

:D
Manco per niente. A volte è così e a volte no. Alcuni operatori, soprattutto per le linee mobili ma non solo, associano uno stesso ip pubblico contemporaneamente a più linee di intestatari diversi. La loro rete funziona a livello più o meno esteso come una lan locale.
una volta era solo fastweb (vedi adunanza), adesso chi c'è che fa così?
 
Vincent Vеga;57642818 ha scritto:
:D

una volta era solo fastweb (vedi adunanza), adesso chi c'è che fa così?
Ad esempio Tim lo fa ancora sulle linee mobili.
 
Vincent Vеga;57642818 ha scritto:
:D

una volta era solo fastweb (vedi adunanza), adesso chi c'è che fa così?

Tecnicamente si chiama CGNAT (Carrier-grade NAT - Wikipedia)
e viene usato da tutti gli operatori su mobile.
Su linea fissa oltre a fastweb lo usano sky e iliad (non è cgnat ma MAP-T/MAP-E ma il risultato finale è simile) e molti piccoli ISP


Per gli attacchi di phishing con MITM questo strumento opensource è interessante:

GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication

permette di superare l'autenticazione a 2 fattori anche con token hardware.
 
Arrivata raccomandata dalla banca
Nella sostanza la banca dice,dall analisi effettuata dal al,si evince una attività effettuata dallo stesso id adress(se un frodatore avesse disposto il bonifico da pc o telefono distanti dal computer del cliente,l indirizzo ip sarebbe stato indiscutibilmente diverso)ecc ecc
La banca comunque non ravvisa elementi per una qualche responsabilità della stessa

quindi la banca ha sostanzialmente ricostruito che quel bonifico e' stato fatto dal tuo solito pc (o quantomeno da un host nella tua stessa rete ip): come ti avevamo gia' detto o hai un sofisticatissimo malware su quel pc che modifica i dati dei bonifici che fai (possibile ma tecnicamente MOLTO complesso) o , piu' banalmente, devi cercare il colpevole tra gente a te vicina...
 
come avevamo immaginato (e come il Rasoio di Occam insegna) spesso la soluzione in casi di truffe è quella più semplice.

Inutile scomodare sofisticatissimi malware, virus, keylogger, reti compromesse, dipendenti disonesti, ecc... il più delle volte basta guardarsi intorno o allo specchio per trovare il vero colpevole.
 
quindi la banca ha sostanzialmente ricostruito che quel bonifico e' stato fatto dal tuo solito pc (o quantomeno da un host nella tua stessa rete ip): come ti avevamo gia' detto o hai un sofisticatissimo malware su quel pc che modifica i dati dei bonifici che fai (possibile ma tecnicamente MOLTO complesso) o , piu' banalmente, devi cercare il colpevole tra gente a te vicina...

Oppure la banca risponde con risposte preconfezionate. Non era una truffa ma ho scritto un reclamo alla banca chebanca facendo notare che l'introduzione del canone non è stato per tutti i correntisti mi hanno risposto pressappoco che nel mio caso avevo utilizzato strumenti finanziari e gli altri no. Ma io non ho usato un bel nulla, non ho nemmeno fatto bonifici. L'unica cosa ho utilizzato è la carta di debito, non ho mai richiesto la carta di credito. Nemmeno prestiti. L'ultimo prelievo in un atm è stato nel 2019. Mi hanno semplicemente risposto con una risposta preconfezionata perchè non sapevano che rispondere.
 
Manco per niente. A volte è così e a volte no. Alcuni operatori, soprattutto per le linee mobili ma non solo, associano uno stesso ip pubblico contemporaneamente a più linee di intestatari diversi. La loro rete funziona a livello più o meno esteso come una lan locale.
Ti riferisci agli IP nattati, ok. Qui ci sarebbe da sentire il parere di un esperto di reti, perché l'argomento non lo mastico più da tempo. Non so se i provider, comunque, possano tenere traccia dell'IP privato assegnato a ciascun host, presumo di sì perché le tabelle di routing le hanno loro. Inoltre, potrei anche sbagliare, ma mi pare che alcune banche blocchino o quanto meno ritengano sospetto il traffico da alcuni indirizzi ip, fra cui probabilmente quelli di questo tipo.
In generale penso anche che se fosse così semplice commettere un reato informatico semplicemente avendo un ip nattato allora il numero dei reati crescerebbe esponenzialmente.

Oppure la banca risponde con risposte preconfezionate.
Anche, certo. È chiaro che a torto o ragione fa di tutto per scaricare ogni responsabilità, anche in via preliminare.

Non era una truffa ma ho scritto un reclamo alla banca chebanca facendo notare che l'introduzione del canone non è stato per tutti i correntisti mi hanno risposto pressappoco che nel mio caso avevo utilizzato strumenti finanziari e gli altri no. Ma io non ho usato un bel nulla, non ho nemmeno fatto bonifici. L'unica cosa ho utilizzato è la carta di debito, non ho mai richiesto la carta di credito. Nemmeno prestiti. L'ultimo prelievo in un atm è stato nel 2019. Mi hanno semplicemente risposto con una risposta preconfezionata perchè non sapevano che rispondere.
Questo però nulla ha a che vedere con l'argomento, se non per il discorso "risposte preconfezionate" di cui non ci si dovrebbe stupire. Se posso continuare brevemente l'ot, però, ti direi che non mi pare che non abbia riguardato tutti (potrei ovviamente ricordare male), ma che l'importo non sia lo stesso per tutti (come del resto avviene anche per l'applicazione di canoni di altri istituti); ti ribadisco il mio consiglio di inoltrare ricorso, se hai bisogno di supporto posso inviarti le decisioni abf di riferimento. Poi, claro, sei libero di agire come meglio ritieni.
 
Tecnicamente si chiama CGNAT (Carrier-grade NAT - Wikipedia)
e viene usato da tutti gli operatori su mobile.
Su linea fissa oltre a fastweb lo usano sky e iliad (non è cgnat ma MAP-T/MAP-E ma il risultato finale è simile) e molti piccoli ISP


Per gli attacchi di phishing con MITM questo strumento opensource è interessante:

GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication

permette di superare l'autenticazione a 2 fattori anche con token hardware.


Interessante, appena ho tempo farò delle ricerche a riguardo, nel frattempo sapresti indicare sinteticamente come funziona esattamente questo attacco?
 
Anche, certo. È chiaro che a torto o ragione fa di tutto per scaricare ogni responsabilità, anche in via preliminare.

Questo però nulla ha a che vedere con l'argomento, se non per il discorso "risposte preconfezionate" di cui non ci si dovrebbe stupire. Se posso continuare brevemente l'ot, però, ti direi che non mi pare che non abbia riguardato tutti (potrei ovviamente ricordare male), ma che l'importo non sia lo stesso per tutti (come del resto avviene anche per l'applicazione di canoni di altri istituti); ti ribadisco il mio consiglio di inoltrare ricorso, se hai bisogno di supporto posso inviarti le decisioni abf di riferimento. Poi, claro, sei libero di agire come meglio ritieni.

Grazie mille :)

Io e la mia ragazza abbiamo aperto il conto lo stesso giorno con stessa modalità. A lei è rimasto senza canone, nessuna rimodulazione. A me invece la rimodulazione. Non mi è piaciuta la risposta, sto valutando il reclamo all' ABF.
 
Interessante, appena ho tempo farò delle ricerche a riguardo, nel frattempo sapresti indicare sinteticamente come funziona esattamente questo attacco?

Questo strumento va installato su un tuo server, durante la configurazione è possibile scegliere tra diverse banche e altri siti (ad esempio amazon o paypal) quello che si vuole attaccare.
Si manda alla vittima l'url del nostro server e con le solite tecniche di ingegneria sociale la si convince ad aprirlo.
Visitando l'url, le pagine che si vedono sono le stesse del sito originale, solo che queste transitano nel nostro server prima di arrivare alla vittima, per cui è impossibile accorgersi che si è su un falso sito.
Quando la vittima si logga tutte le informazioni che inserisce passano prima sul nostro server, che le salva, e poi vanno al sito originale che ti farà entrare nella tua area personale.

La cosa da considerare è la semplicità con cui un truffatore con minime capacità tecniche ma buone capacità di ingegneria sociale possa mettere in piedi un sito fraudolento irriconoscibile come tale dall'utente medio; questo amplia la platea di truffatori che riescono a mettere in piedi attacchi di questo tipo.
 
Questo strumento va installato su un tuo server, durante la configurazione è possibile scegliere tra diverse banche e altri siti (ad esempio amazon o paypal) quello che si vuole attaccare.
Si manda alla vittima l'url del nostro server e con le solite tecniche di ingegneria sociale la si convince ad aprirlo.
Visitando l'url, le pagine che si vedono sono le stesse del sito originale, solo che queste transitano nel nostro server prima di arrivare alla vittima, per cui è impossibile accorgersi che si è su un falso sito.
Quando la vittima si logga tutte le informazioni che inserisce passano prima sul nostro server, che le salva, e poi vanno al sito originale che ti farà entrare nella tua area personale.

La cosa da considerare è la semplicità con cui un truffatore con minime capacità tecniche ma buone capacità di ingegneria sociale possa mettere in piedi un sito fraudolento irriconoscibile come tale dall'utente medio; questo amplia la platea di truffatori che riescono a mettere in piedi attacchi di questo tipo.

ho sempre stimato i lamers
ma la colpa è dell'utente finale
 
Vincent Vеga;57642818 ha scritto:
:D

una volta era solo fastweb (vedi adunanza), adesso chi c'è che fa così?

Adunanza ahah che mi hai fatto tornare in mente :D
 
Oppure la banca risponde con risposte preconfezionate. Non era una truffa ma ho scritto un reclamo alla banca chebanca facendo notare che l'introduzione del canone non è stato per tutti i correntisti mi hanno risposto pressappoco che nel mio caso avevo utilizzato strumenti finanziari e gli altri no. Ma io non ho usato un bel nulla, non ho nemmeno fatto bonifici. L'unica cosa ho utilizzato è la carta di debito, non ho mai richiesto la carta di credito. Nemmeno prestiti. L'ultimo prelievo in un atm è stato nel 2019. Mi hanno semplicemente risposto con una risposta preconfezionata perchè non sapevano che rispondere.

puo' essere ma capisci bene che se si e' trattato di un singolo bonifico le probabilita' che le "colpe" siano dell'utente finale sono circa il 99,9%.
un hacker te lo svuota il conto, vende pure i titoli se ne hai e si bonifica anche quelli ;)
 
Questo strumento va installato su un tuo server, durante la configurazione è possibile scegliere tra diverse banche e altri siti (ad esempio amazon o paypal) quello che si vuole attaccare.
Si manda alla vittima l'url del nostro server e con le solite tecniche di ingegneria sociale la si convince ad aprirlo.
Visitando l'url, le pagine che si vedono sono le stesse del sito originale, solo che queste transitano nel nostro server prima di arrivare alla vittima, per cui è impossibile accorgersi che si è su un falso sito.
Quando la vittima si logga tutte le informazioni che inserisce passano prima sul nostro server, che le salva, e poi vanno al sito originale che ti farà entrare nella tua area personale.

La cosa da considerare è la semplicità con cui un truffatore con minime capacità tecniche ma buone capacità di ingegneria sociale possa mettere in piedi un sito fraudolento irriconoscibile come tale dall'utente medio; questo amplia la platea di truffatori che riescono a mettere in piedi attacchi di questo tipo.

In definitiva, come già detto da altri che lavorano in banca, alla fine ci vuole comunque l'azione dell'utente che si fa convincere a usare un link. In definitiva è quello che scrivono continuamente le banche nelle email di informazione alla prevenzione delle truffe online. Ne ho recentemente ricevuta una da banco BPM:

SAI RICONOSCERE UNA FRODE?


Gentile xxxxxxxxx,

è molto importante saper riconoscere una frode.

Ad esempio, potresti:

ricevere un SMS dai contenuti allarmanti, con un link che punta ad una falsa pagina di login all’homebanking oppure con numeri da richiamare (i truffatori possono far apparire l’sms fraudolento tra quelli effettivamente inviati dalla Banca)
essere in seguito contattato da un finto operatore della Banca che, con la scusa di mettere in sicurezza il tuo conto corrente a causa di una o più presunte operazioni sospette, ti spinge ad effettuare una o più disposizioni online (spesso i truffatori riescono a far apparire come numero chiamante un numero telefonico della Banca e operano nelle ore serali o nei giorni prefestivi e festivi, rendendo difficoltoso qualsiasi tipo di accertamento).


 COSA SAPERE PER PROTEGGERSI

Non ti chiediamo mai di effettuare un bonifico per mettere al sicuro i tuoi soldi. Potremmo eventualmente bloccare il tuo servizio online a scopo cautelativo: verificheremmo con te solo la bontà delle operazioni sospette. Per richiedere lo sblocco, potrai contattarci all'800.024.024.


Non ti chiediamo mai di fornirci le tue credenziali di sicurezza per stornare delle operazioni. La Banca può bloccare o richiamare una disposizione da te non riconosciuta, chiedendo solo il tuo consenso.


Non ti inviamo mai SMS con un link per l'accesso al servizio online: se lo ricevi, segnalacelo all'800.024.024 (numero verde del nostro Servizio Clienti).

Non ti chiediamo mai di contattare numeri di telefono differenti dall'800.024.024. Nel caso, verifica sempre la legittimità della richiesta contattandoci al numero verde, componendo tu stesso il numero: è molto più sicuro.

Un saluto cordiale.

Banco BPM


PROTEGGI LA TUA SICUREZZA!

Banco BPM non ti chiede mai di comunicare, via telefono, email o SMS, i tuoi dati riservati (es. credenziali di accesso, password, numeri delle carte).
Ricorda! Nelle nostre comunicazioni ti chiamiamo sempre per nome e cognome e non ti forniamo mai link di accesso all'area riservata di YouWeb. Per essere informati e tutelare la tua sicurezza consulta la sezione Sicurezza del Magazine sul sito bancobpm.it.

Il sim SWAP non preoccupa la banca, perchè richiede la "collaborazione" di qualcuno all'interno della compagnia telefonica... e che verrà facilmente identificato.
Il problema è l'utente che si fa convincere a inserire le sue credenziali su piattaforme non ufficiali o quella che mi ha fatto più ridere nel leggerla "Non ti chiediamo mai di effettuare un bonifico per mettere al sicuro i tuoi soldi.". Se l'hanno scritto ci sarà qualcuno che si sarà fatto convincere a fare il bonifico personalmente:wall::wall:
 
quindi la banca ha sostanzialmente ricostruito che quel bonifico e' stato fatto dal tuo solito pc (o quantomeno da un host nella tua stessa rete ip): come ti avevamo gia' detto o hai un sofisticatissimo malware su quel pc che modifica i dati dei bonifici che fai (possibile ma tecnicamente MOLTO complesso) o , piu' banalmente, devi cercare il colpevole tra gente a te vicina...

apposta si chiama Cgnat :D

Tecnicamente si chiama CGNAT (Carrier-grade NAT - Wikipedia)
e viene usato da tutti gli operatori su mobile.
Su linea fissa oltre a fastweb lo usano sky e iliad (non è cgnat ma MAP-T/MAP-E ma il risultato finale è simile) e molti piccoli ISP
Per gli attacchi di phishing con MITM questo strumento opensource è interessante:
GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication
permette di superare l'autenticazione a 2 fattori anche con token hardware.
 
A un amico hanno svuotato un conto N26 con truffa telefonica. Secondo me c'è un evidente concorso di colpa della banca, ma secondo voi ci sono speranze?

Una persona si è finta operatore N26. Ha prima mandato SMS e poi ha telefonato presentandosi come ufficio antifrode.

Per "accreditarsi" ha segnalato un addebito non autorizzato sulla carta per un piccolo importo (addebito di 200 euro), invitando l'utente a verificare da app. Questo primo addebito (non autorizzato) era reale: il mio amico ha confermato all'operatore telefonico che si trattava di un addebito non autorizzato e ne ha chiesto lo storno.

Il finto operatore dell'ufficio antifrode di N26 ha quindi detto che avrebbe mandato via app una serie di messaggi da autorizzare per stornare questa ed altre operazioni sospette. Inutile dire che questi messaggi erano la vera parte della truffa, con cui ha svuotato il conto (circa 1.800 euro).

N26 ha riconosciuto che il primo addebito (da 200 euro) non era stato autorizzato e ha rimborsato tale importo. N26 ha invece negato responsabilità per i successivi addebiti (in quanto formalmente autorizzati dall'utente).

A me pare una distinzione molto "formale", perchè c'è un evidente concorso di responsabilità della banca.

Il primo addebito non autorizzato, infatti, è interamente colpa della banca ed ha funzionato come "esca" per convincere l'utente che dall'altra parte del telefono c'era l'ufficio antifrode di N26. In assenza di tale "esca" il mio amico non avrebbe abboccato e autorizzato le successive transazioni con cui il conto è stato svuotato.
 
N26 ha riconosciuto che il primo addebito (da 200 euro) non era stato autorizzato e ha rimborsato tale importo. N26 ha invece negato responsabilità per i successivi addebiti (in quanto formalmente autorizzati dall'utente).
E come avevano fatto ad addebitare i 200 euro senza autorizzazione?
Io sono sempre dell'idea che ci sia qualcuno all'interno che "facilita le cose".
Ad un mio parente, in un modo analogo, portarono via 1.000 €. (ne aveva pochi di più sul conto).
Si fecero un bonifico su un altro conto N26 (sicuramente intestato ad una persona ignara di tutto) e riuscirono a farsi autorizzare la cosa via telefono dal "parente".
Fortunatamente la cosa si è poi risolta con il rimborso da parte di N26 (dopo denuncia dai CC, moduli vari, copia degli SMS e qualche mese).
Secondo me fecero il rimborso perchè avevano in casa la Banca d'Italia che gli stava facendo le pulci per la facilità di apertura dei Conti Correnti.
 
Indietro