---

Per chi ha fretta

Sono in aumento nuove e sofisticate truffe che sfruttano la tecnologia dei pagamenti contactless (NFC). I criminali, attraverso SMS di phishing e chiamate di finti operatori bancari, inducono la vittima a installare un’app malevola. Successivamente, con la scusa di una “procedura di sicurezza”, convincono la persona ad avvicinare la propria carta di credito al retro del proprio smartphone. In quel momento, l’app fraudolenta usa il telefono della vittima come uno skimmer per leggere i dati della carta e clonarla. Per difendersi è fondamentale non cliccare mai su link sospetti e ricordare che nessuna banca chiederà mai di eseguire simili operazioni.

Pagamenti Contactless: la Comodità nel Mirino dei Criminali

Avvicinare la carta o lo smartphone al POS per pagare è diventato un gesto quotidiano, simbolo di velocità e comodità. Questa semplicità, tuttavia, ha attirato l’attenzione di reti criminali che hanno sviluppato attacchi informatici di nuova generazione, capaci di aggirare le sicurezze tradizionali e di trasformare la tecnologia dell’utente in un’arma contro se stesso. Recenti rapporti sulla sicurezza informatica, come l’ultimo ESET Threat Report, evidenziano una crescita esponenziale di queste minacce a livello globale, unendo tecniche di phishing, malware e ingegneria sociale in un unico, pericoloso attacco.

Come Funziona il Pagamento Contactless?

Per capire la truffa, è utile prima comprendere la tecnologia. Il pagamento contactless si basa sulla NFC (Near Field Communication), una tecnologia radio a cortissimo raggio (pochi centimetri).

Immaginiamola come una “conversazione” brevissima e sicura:

1. Quando la tua carta di credito o il tuo smartphone si avvicina a un terminale di pagamento (POS), il chip NFC si “sveglia”.
2. Invece di trasmettere il numero reale della tua carta, il chip genera un codice monouso (un “token”) che vale solo per quella specifica transazione.
3. Il POS riceve questo codice, lo verifica con il circuito bancario e autorizza il pagamento.

Questo sistema è intrinsecamente sicuro per le transazioni di prossimità, perché il token è inutile se intercettato e il numero di carta reale non viene esposto. La nuova truffa, però, non cerca di intercettare il segnale a distanza, ma inganna l’utente per fargli rivelare i dati sorgente della carta in un altro modo.

Anatomia di un Attacco Ibrido

L’attacco è un processo a più fasi che mescola digitale e psicologico.

1. L’Esca (Phishing): Tutto inizia con un SMS apparentemente proveniente dalla propria banca, che segnala un problema di sicurezza o un’attività sospetta e invita a cliccare su un link per risolverlo.
2. L’Infezione (Malware): Il link porta a un sito clone della banca dove alla vittima viene chiesto di scaricare e installare una “nuova app di sicurezza” per proteggere il conto. Questa app, in realtà, è un malware.
3. L’Ingegneria Sociale (La Chiamata): Poco dopo, la vittima riceve una telefonata da un truffatore che si spaccia per un operatore della banca. Con tono professionale e urgente, spiega che per completare la “procedura di messa in sicurezza” del conto è necessaria un’ultima verifica della carta fisica.
4. L’Auto-Clonazione (Il Cuore della Truffa): Qui avviene l’inganno cruciale. Il finto operatore guida la vittima a prendere la propria carta di credito contactless e ad avvicinarla al retro del proprio smartphone, dove si trova il lettore NFC. In quel preciso istante, l’app malevola installata in precedenza si attiva, usa il telefono come un terminale POS e legge i dati necessari per emulare la carta.
5. Il Furto: I dati della carta vengono istantaneamente inviati al server dei criminali. Da quel momento, possono creare una copia virtuale della carta e aggiungerla ai loro wallet digitali (Google Pay, Apple Pay) per effettuare pagamenti online o nei negozi, prosciugando il conto della vittima.

Lista di Consigli per Evitare il Problema

1. Le Banche Non Chiedono Questo: È la regola più importante. Nessun operatore bancario ti chiederà mai al telefono di installare applicazioni da fonti esterne o, soprattutto, di avvicinare la tua carta di credito al tuo telefono per “verificarla”. Se ricevi una richiesta simile, è una truffa al 100%: riaggancia subito.
2. Non Cliccare su Link Sospetti: Non accedere mai al tuo home banking da link ricevuti via SMS o email. Digita sempre l’indirizzo del sito della tua banca manualmente nel browser o usa l’applicazione ufficiale scaricata dagli store.
3. Scarica App solo dagli Store Ufficiali: Evita di installare applicazioni da siti web, link o fonti sconosciute. Affidati esclusivamente al Google Play Store o all’App Store di Apple.
4. Imposta Limiti e Notifiche: Accedi alle impostazioni della tua carta tramite l’app della banca e imposta limiti di spesa bassi per le operazioni contactless. Abilita le notifiche push per ogni singola transazione, in modo da essere avvisato in tempo reale di qualsiasi pagamento.
5. Usa Custodie Protettive (RFID-blocking): Per una protezione aggiuntiva contro lo skimming fisico (la lettura non autorizzata della carta in luoghi affollati), puoi utilizzare portafogli o custodie che schermano il segnale NFC.

Cosa Fare se si Presenta il Problema

Se sospetti di essere caduto in questa trappola, agisci con la massima urgenza.

1. Blocca Immediatamente la Carta: Chiama il numero verde di emergenza della tua banca (attivo 24/7) e chiedi il blocco immediato della carta per frode.
2. Disinstalla l’App Malevola: Rimuovi subito dal telefono qualsiasi applicazione sospetta che hai installato di recente.
3. Cambia le Password: Modifica immediatamente la password del tuo home banking e di tutti gli altri account importanti (email, social network).
4. Sporgi Denuncia: Raccogli tutte le prove che hai (lo screenshot dell’SMS, il numero da cui hai ricevuto la chiamata, la lista delle transazioni fraudolente) e recati presso la Polizia Postale per sporgere denuncia.

#checkblacklist #Contactless #NFC