Oggi ti svelo come funziona il furto dei dati di accesso alla banca anche in presenza del dispositivo fisico che genera il codice.
Gli ultimi phishing che ho esaminato, come questo su Unicredit, ti rubano i dati della carta di credito e poi ti chiedono anche il codice univoco che, nel caso di Unicredit, è generato dall’apparecchietto che ti viene dato per le operazioni di home banking ma in altri casi arriva via SMS.
Ma come fanno a utilizzarlo dato che ogni volta che fai un’operazione questo codice cambia?
Semplice, fanno tutto in tempo reale!
In pratica i phisher mettono online la pagina di phishing che ti chiede i dati di accesso al tuo home banking, tipo questa – di cui ho analizzato nel dettaglio il meccanismo di phishing in un altro articolo – per fare un esempio
e appena tu li hai inseriti c’è qualcuno dall’altra parte che tenta immediatamente di accedere al portale Unicredit ma si deve fermare perché gli viene chiesto anche il codice che può avere solo chi ha il device fisico così, appena dopo avere inserito le tue credenziali, ti chiedono anche il codice
se tu lo inserisci, loro fanno lo stesso nel vero portale Unicredit dove sono già entrati con le tue credenziali e a quel punto hanno accesso a tutto!
Nel caso del phishing in questione inoltre ti chiedono anche i dati della tua carta di credito così a quel punto hanno tutto di te!
In sostanza è un controllo con accesso in tempo reale perché se lo facessero in un altro momento il codice non corrisponderebbe, tanto tu in quel momento stai accedendo a un finto portale Unicredit e non al vero dove invece stanno accedendo loro!
Quello che succede realmente durante questo tentativo di phishing lo puoi vedere sul post in cui l’ho analizzato.
I phishers in situazioni come quella descritta agiscono in questo modo, in tempo reale e così facendo riescono a entrare nel tuo account della banca e da lì, sempre che non ci siano altre conferme con codici che puoi avere solo tu, possono fare tutto quello che vogliono.
Per quello è fondamentale stare sempre allerta e sapere come riconoscere i tentativi di phishing.
Ti consiglio di leggere sempre e stampare il vademecum in 18 punti che ti fa capire se un’email è reale o un tentativo di phishing. Ti eviterai un sacco di problemi e riuscirai a difenderti efficacemente dal phishing.