FRODI IN AMBIENTE CARD NOT PRESENT

Questo tipo di frodi sono volte all’impossessamento criminoso di PAN di carte di credito (le sedici cifre impresse sulla carta) e altri dati in esse contenuti con l’obiettivo di utilizzarli illecitamente. Nella fattispecie analizzeremo i furti di dati per via telematica (dove non vi è la necessità della carta fisica per perpetrare la contraffazione). Tali frodi vengono annoverate nella famiglia delle frodi in ambiente “card not present”.

IL PHISHING

Un metodo di contraffazione molto noto agli addetti ai lavori è il “phishing” .

Tramite il phishing i criminali si impossessano dei dati relativi alla carta attraverso l’invio di falsi messaggi di posta elettronica.

La frode avviene approssimativamente col seguente modus operandi:

Il criminale invia una e-mail all’ignaro titolare di carta da un indirizzo che apparentemente appartiene alla compagnia che ha emesso la carta o alla sua banca. Solitamente le mail inviate con scopo fraudolento fanno riferimento ad una problematica legata alla sicurezza della carta del titolare.

Nella mail viene inserito un link ad un sito che ha tutte le caratteristiche (in grafica e contenuti) del sito internet dell’istituzione finanziaria che ha emesso la carta di credito dove vengono richiesti i dati per l’identificazione (numero carta, codice di sicurezza, dati del titolare di carta);

se il titolare di carta cade nella trappola del malintenzionato fornirà tutti i dati utili per un futuro utilizzo on-line (e a volte off-line) della carta di credito.

Se il messaggio viene inviato tramite un SMS la frode viene denominata “smishing”, se la frode viene perpetrata tramite canale telefonico (il malintenzionato finge di essere un funzionario della banca chiedendo direttamente i dati al malcapitato) prende il nome di “Vishing”

Come difendersi dal Phishing?

Bisogna fare molta attenzione: prima di tutto nessuna istituzione finanziaria richiede la conferma on-line dei dati sensibili dei propri clienti per motivi di sicurezza, solitamente queste mail sono scritte in un italiano stentato e sgrammaticato (in questo caso si può avere la certezza matematica che la mail non è autentica), quando si accede ad un sito che richiede l’immissione di dati sensibili bisogna controllare se la pagina internet è criptata attraverso il protocollo SSL, in questo caso nella barra dell’indirizzo (che solitamente inizia con http://) si dovrà visualizzare https:// e in basso a destra l’immagine di un lucchetto che sta a significare che la trasmissione dei dati è sicura.

In caso di SMS sospetti non richiamare MAI il numero di telefono riportato nel testo dell’SMS ma contattare l’istituzione bancaria al numero ufficiale.

In caso di telefonate in cui si chiedono i dati personali (Numero della carta di credito, CVV o PIN), non fornirli MAI, la banca non vi chiederà MAI telefonicamente quei dati in quanto né già in possesso; tali dati, ad eccezione del pin, vengono richiesti esclusivamente dal customer care (a seguito chiamata del cliente) per l’identificazione (ossia per verificare che sia realmente il titolare di carta che sta chiamando).

IL TRASHING

Il trashing è un’altra tecnica fraudolenta volta a carpire i dati sensibili personali.

I dati vengono reperiti tra i rifiuti (chi non ha mai buttato una vecchia bolletta, l’estratto conto bancario, gli scontrini senza pensarci?)

Le associazioni delittuose si avvalgono per questo tipo di frode di senzatetto, in modo da non dare nell’occhio, dai quali acquistano (in un mercato nero ) i dati sensibili così ricavati.

Tali dati vengono elaborati con sofisticati software che permettono di ricostruire il profilo del malcapitato.

Come difendersi dal trashing?

Come semplicemente intuibile, è importantissimo evitare di gettare tra i rifiuti, documenti dove sono riportati i propri dati. Ciò dovrebbe essere sufficiente a prevenire questo tipo di frode.

BOXING

Tale tipologia di frode viene perpetrata nel periodo che va dall’invio della carta di credito al ricevimento della stessa da parte del titolare. In questo frangente la carta potrebbe venire intercettata da terzi.

Si può ovviare a questo problema facendosi inviare la carta in filiale (solitamente l’invio alla filiale avviene attraverso canali più sicuri della posta ordinaria), ovviamente si dovrà far attenzione ad utilizzare cassette della posta ben richiudibili.

HACKING

Nella fattispecie delle frodi “card not present” si configura anche l’hacking, che comporta l’acquisizione dei dati attraverso la violazione di database si siti di e-commerce.

Effettuare acquisti in siti attendibili e sicuri è quindi da considerarsi un must.

IL CARDING MATEMATICO

Il carding matematico è una tecnica fraudolenta volta a carpire numeri reali di carte di credito attraverso dei particolari software (detti generatori) che, appunto, generano numeri verosimili di carte di credito utilizzando gli algoritmi utilizzati dagli emittenti. Questa tecnica è poco utilizzata in quanto molto “fallibile”. Ormai i sistemi di sicurezza degli emittenti bloccano sul nascere questa tipologia di frode.