Negli ultimi anni, le truffe bancarie si sono evolute con tecniche sempre più sofisticate, che hanno utilizzato la tecnologia per aggirare i sistemi di sicurezza. Ne è un esempio la nuova truffa della Repubblica Ceca, che nel 2023 è stata perpetrata con ampio successo in Cechia grazie all'uso del malware NGate. Il “copione” seguito dai truffatori è articolato ed efficace: per sottrarre denaro direttamente dal conto corrente delle vittime attraverso un prelievo Bancomat (senza l'uso della carta), i criminali inviano un messaggio alla potenziale vittima che, se apre il link contenuto al suo interno, andrà a installare il malware in oggetto sul proprio smartphone Android, che consentirà ai truffatori di ottenere i dati delle carte e sfruttare la tecnologia NFC (Near Field Communication) per clonarle. A diramare l'allarme sono gli esperti di sicurezza della società di sicurezza ESET, che per difendersi suggeriscono di prestare la massima attenzione alle proprie attività online, ricordando che non bisogna aprire link sospetti, in quanto banche e istituti di credito non invitano a perpetrare simili azioni.
Come funziona la truffa della Repubblica Ceca
La nuova truffa della Repubblica Ceca, giornalisticamente ribattezzata con questo nome a causa del suo successo in Cechia, secondo gli esperti di sicurezza informatica potrebbe essere “esportata” anche in altre aree geografiche, Italia compresa. Comprenderne il funzionamento è il punto da cui partire per potersi difendere da essa.
Tutto ha inizio con un messaggio, che può essere recapitato via SMS oppure tramite app di messaggistica istantanea (come WhatsApp e Telegram), e che potrebbe sembrare provenire da una banca. Il messaggio invita ad aprire un link: se l'utente acconsente, viene avviata la procedura del malware NGate sullo smartphone Android della vittima. Riguardo a quest'ultimo, Lukáš Štefanko, Senior Malware Researcher di ESET, ha riferito:
Non abbiamo mai visto questa tecnica di reindirizzamento NFC in nessun malware Android precedentemente scoperto. La tecnica si basa su uno strumento chiamato NFCGate, progettato da studenti del Politecnico di Darmstadt, in Germania, per catturare, analizzare o alterare il traffico NFC; per questo abbiamo chiamato questa nuova famiglia di malware NGate.
Una volta che il malware è installato sul dispositivo della vittima, viene avviato il furto dei dati delle carte di pagamento memorizzate sullo smartphone. Grazie al malware, i truffatori possono intercettare i dati NFC, che normalmente vengono utilizzati per pagamenti contactless, e trasferirli sui propri dispositivi, emulando così le carte fisiche. Questo permette loro di effettuare prelievi Bancomat in modalità “cardless”, cioè senza dover inserire la carta fisica nello sportello automatico. In alternativa, se il prelievo diretto non va a buon fine, i truffatori hanno anche la possibilità di trasferire somme di denaro dai conti delle vittime a conti intestati a loro o ai loro complici, eludendo così i controlli di sicurezza delle banche stesse.
Uno degli aspetti più preoccupanti di questa truffa è la sua capacità di colpire un ampio spettro di persone, indipendentemente dall'età o dalle competenze tecnologiche. Mentre in passato i truffatori si concentravano principalmente su persone anziane o meno esperte, oggi chiunque può cadere vittima di un attacco ben orchestrato. Basta infatti un click su un link sbagliato per compromettere l'intero sistema di sicurezza del proprio smartphone e, di conseguenza, del proprio conto bancario.
Come difendersi dalla truffa della Repubblica Ceca
Veniamo, ora, al nocciolo della questione: come difendersi dalla truffa della Repubblica Ceca. A questo quesito risponde l'esperto Lukáš Štefanko, che suggerisce:
Proteggersi da attacchi complessi come questi richiede l’uso di misure proattive contro il phishing, social engineering e malware Android. Questo significa controllare gli URL dei siti Web, scaricare app solo da store ufficiali, mantenere segreti i codici PIN, utilizzare app di sicurezza sui telefoni, disattivare la funzione NFC quando non è necessaria, utilizzare custodie protettive o carte virtuali protette da autenticazione.
È bene ricordare, inoltre, che le banche o altre istituzioni finanziarie non richiederanno mai dati sensibili attraverso messaggi WhatsApp, SMS, e-mail e simili. Pertanto, non aprite per alcun motivo al mondo link provenienti da contatti che si spacciano per la vostra banca.