Skimming e furto di carta di credito online: la storia di Tommaso

25 Mag 2021 | Rischi Online

Mai mi sarei immaginato che un furto di carta di credito potesse capitare proprio a me, di trovarmi vittima del cosiddetto skimming online.  

Un paio di mesi fa ho effettuato un acquisto su un e-commerce che conoscevo bene e che frequentavo ormai da anni.

Era un’azienda di cui mi fidavo ed un sito web protetto da https, quindi mi sono sentito completamente al sicuro inserendo il numero della mia carta di credito per completare l’acquisto.

Ho comprato il mio articolo, ho ricevuto un’e-mail di conferma e poi il mio prodotto a casa. Tutto era andato come previsto. 

Indice

Il mio rapporto con lo shopping online

La mia passione per la palestra

La scoperta della truffa

Non avevo idea di cosa fosse l’e-skimming

Come ho risolto il problema

Cosa ho imparato dall’attacco skimming

Il mio rapporto con lo shopping online

Spesso mi capitava di fare acquisti online su siti sicuri, in alcuni casi anche consigliati da miei conoscenti o colleghi che si erano trovati bene e avevano ricevuto i loro ordini senza alcun problema. Nessuno avrebbe mai pensato ad un furto di dati. Tra i miei amici e parenti lo shopping online non rappresentava un rischio, ma anzi un modo per comprare più facilmente beni e servizi che spesso non si trovano nei negozi fisici, oppure sono reperibili solo sugli e-commerce.  

Non avevo mai conosciuto nessuno che fosse stato vittima di skimming, o a cui fosse capitato un furto di carta di credito sul web. Avevo sentito parlare, spesso ai telegiornali, di persone a cui venivano clonate le carte di credito attraverso gli sportelli automatici del bancomat. Avevo sentito che i malintenzionati erano in grado di applicare un dispositivo sul lettore della carta, che copia i dati riportati nella banda magnetica. Acquisivano il PIN, invece, mediante una finta tastiera o attraverso una microtelecamera nascosta. 

Tuttavia, non mi ero mai fatto spaventare dai furti di dati online o di skimming. Soprattutto temevo un attacco alla mia carta di credito attraverso un sito che conoscevo molto bene e di cui mi fidavo, su cui avevo fatto già diversi acquisti e ogni ordine era sempre andato a buon fine.  

La mia passione per la palestra

Sono ormai 10 anni che mi alleno con costanza: prima della pandemia andavo in palestra regolarmente 3 o 4 volte alla settimana. Sono sempre stato una persona molto sportiva, amo fare attività fisica e dedicarmi al mio benessere, sia fisico che mentale.  

Quando le palestre sono state chiuse e siamo stati costretti a casa a causa del lockdown, non mi sono dato per vinto e ho deciso di costruire la mia palestra casalinga. Ho iniziato a cercare attrezzature varie sui siti dei negozi fisici che frequentavo abitualmente, ma nulla: era tutto sold out. A quanto pare non ero stato l’unico ad aver avuto questa idea.  

Durante diverse chiacchierate avvenute in pausa pranzo o al bar, avevo scoperto che alcuni miei conoscenti e colleghi possedevano attrezzature sportive a casa, così ho chiesto loro consigli per i miei acquisti. Mi hanno dato un elenco di siti affidabili da cui avevano già acquistato e si erano trovati molto bene. Nessuno era mai stato vittima di skimming o di truffe online, quindi dopo una lunga ricerca di quello che poteva fare al caso mio ho fatto il mio ordine.  

La scoperta della truffa

Un paio di settimane dopo, nel cuore della notte mentre dormivo, sono stato svegliato da una notifica proveniente dal mio telefono. Avevo impostato l’autenticazione a due fattori sul mio account della banca e ho ricevuto diverse e-mail che mi chiedevano di confermare i miei tentativi di accesso. Ovviamente stavo dormendo e non avevo tentato di accedere all’app del mio conto. Qualcuno stava inserendo la mia password ed e-mail corretta e attivando l’autenticazione a due fattori. 

Sono corso al mio computer e ho controllato il conto della mia carta di credito. Anche lì c’erano addebiti non autorizzati. Ho dovuto contattare la società della carta di credito e convincerli a bloccarla subito. Tutto ciò mi ha lasciato senza neanche un euro, finché non è arrivato lo stipendio la settimana successiva. Mi sono addirittura trovato nella condizione di dover chiedere un prestito in denaro alla mia famiglia. 

Il giorno dopo ho contattato subito la polizia postale, che mi ha confermato il furto di carta di credito e dei miei dati personali. Mi sono sentito male: ero caduto vittima di una truffa online. Avevo appena dato ai criminali il mio numero di carta di credito, le mie password, le informazioni del mio conto bancario… Probabilmente ogni informazione su di me. 

Non avevo idea di cosa fosse l’e-skimming

Dopo aver bloccato la mia carta di credito, ho contattato la polizia postale per chiedere aiuto e capire come risolvere il mio problema. In sostanza, gli agenti mi hanno spiegato il significato dell’e-skimming: è una frode con carta di credito in cui gli aggressori sfruttano una violazione della sicurezza e installano un software dannoso nella pagina di elaborazione dei pagamenti.  

Gli agenti della polizia postale mi hanno spiegato nel dettaglio in cosa consiste un attacco di eskimming sui siti legittimi 

  • Hanno attaccato il sito di e-commerce legittimo e, sfruttando una vulnerabilità che hanno scovato sul portale, hanno inserito uno script malevolo; 
  • Io ho inserito i dati della mia carta di credito per procedere all’acquisto; 
  • I dati della carta di credito sono stati intercettati dallo script malevolo precedentemente impiantato dai truffatori, che ha trasmesso agli hacker una copia del numero di carta, dell’intestatario, del codice di sicurezza etc; 
  • L’acquisto è andato comunque a buon fine poiché anche il sito su cui avevo fatto il mio ordine ha ricevuto correttamente i dati di pagamento, quindi nell’immediato non mi sono accorto di nulla. Allo stesso tempo, però, i ladri hanno avuto a disposizione i dati della mia carta: infatti, mi sono visto addebitare anche gli importi derivanti dagli acquisti effettuati dai criminali. 

Come ho risolto il problema

Appena ho scoperto il problema, oltre ad aver contattato gli agenti, ho contattato la mia banca e ho bloccato subito la carta di credito. La polizia postale mi ha fatto fare la denuncia e la banca mi ha risarcito poche settimane dopo.  

Cosa ho imparato dall’attacco skimming

Di sicuro che non importa quanta attenzione si possa fare su internet: gli hacker sono sempre un passo avanti e si inventano ogni giorno un nuovo modo per fregare gli utenti. Ciò che consiglio a tutti i meno esperti di shopping online è: 

  • Assicurarsi che il sito sia affidabile, anche se non sempre ciò è necessario per difendersi dagli attacchi; 
  • Controllare che il sito su cui facciamo acquisti abbia https nell’url, ovvero che il sito abbia anche il certificato SSL installato (visibile con il lucchetto); 
  • Abilitare le notifiche via sms ogni volta che si esegue una transazione, consiglio che mi ha dato la banca e che ho subito messo in pratica; 
  • Per sicurezza ulteriore, da quando sono caduto vittima di skimming, non uso più la carta di credito per gli acquisti online, ma una carta prepagata che carico al bisogno. 

La cosa più importante che ho imparato è che senza formazione è più semplice cadere nella trappola di qualsiasi attacco online. Leggere, studiare e approfondire il più possibile il tema della sicurezza informatica, anche solo consultando blog online, è fondamentale per informarsi ed essere sempre preparati a combattere gli hacker. 

Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

La tua Cyber Security via mail


cyberefund emblema bianco e arancione

Difesa e Risarcimento contro i Cyber Attack

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961

stripe metodi pagamento sicuri cyberefund