Even InfoSec pros run into telephone scam artists

Anche i professionisti dell’InfoSec incappano nei maestri delle truffe telefoniche

Sono stato un utente soddisfatto di Unitymedia in Germania per quasi due anni, con un pacchetto che includeva Internet, telefono e TV. Quando mi sono trasferito qualche mese fa, volevo spostare anche la connessione a Internet, ma mi è stato comunicato che per lo stesso prezzo mensile potevo mantenere Internet e telefono, mentre per la TV avrei dovuto pagare 20 euro in più al mese. In un mondo dominato da Netflix e altri servizi di streaming, chi ha più il tempo di guardare la vecchia TV? Per risparmiare quei 20 euro, ho deciso di cancellare l’abbonamento TV e di tenermi solo quello per Internet e telefono. Tutto era tranquillo finché un giorno…

Ciao, sono io e ho un affare da proporti

Ho ricevuto una telefonata da una persona che sosteneva di chiamare da parte di Unitymedia. Il mio tedesco è ancora incerto e per avere una conversazione dettagliata sono andato dalla mia collega tedesca, in modo che potesse aiutarmi con la traduzione (dato che la persona di Unitymedia non parlava altra lingua se non il tedesco). Questa persona ha iniziato a dirmi che Unitymedia aveva deciso di offrirmi anche una connessione TV gratis, senza alcun costo aggiuntivo (quindi sapeva chiaramente quale piano tariffario avevo). Per continuare la conversazione, ha iniziato a confermare alcune informazioni su di me, come l’indirizzo di fatturazione, l’indirizzo email, la data di nascita e il mio codice cliente di Unitymedia. Come qualsiasi altro cliente, sono rimasto soddisfatto delle sue risposte e della sua gentilezza. Poi mi ha detto che per abilitare una connessione TV aveva bisogno che confermassi il mio IBAN, che identifica il mio conto bancario. Ha affermato di averlo già, ma non poteva dirmelo al telefono, quindi mi ha chiesto di comunicarglielo in modo che potesse verificare le informazioni in suo possesso.

Suonano i campanelli d’allarme

Ecco quando il primo campanello d’allarme ha iniziato a suonare. Dato che sia io che la mia collega siamo molto attenti alla sicurezza, ci siamo scambiati uno sguardo perplesso e lei gli ha fatto una domanda: “Perché ha bisogno dell’IBAN?”. Lui ha cercato di spiegare, ma non c’è riuscito, così ha passato il telefono a un’altra persona del suo ufficio. Questo altro signore ha iniziato a dire che era per ragioni legali che non poteva spiegare, ma voleva comunque che lo verificassimo. Gli abbiamo detto chiaramente: “No, ci spiace ma no”. Credevamo ancora che fosse davvero di Unitymedia e gli abbiamo chiesto di inviare la richiesta via email, dato che non potevo fornire nessun dettaglio finanziario per telefono.

Gli animi iniziano a scaldarsi

Lui si stava un po’ agitando e ha detto che poteva sì inviare un’email, ma purtroppo l’avrebbe fatto dalla sua casella email privata e non da quella di Unitymedia. Questo è stato il secondo campanello d’allarme ed era chiaro che stava succedendo qualcosa di molto sospettoso e losco. A questo punto era davvero arrabbiato e quasi sul punto di urlarci quale errore stavamo commettendo non condividendo l’IBAN (perché era politica aziendale e quindi lui stava solo seguendo le regole) e non potendo perciò ottenere un collegamento televisivo gratuito (che la società gli aveva chiesto di fornirmi). Alla fine, abbiamo riattaccato e non hanno più richiamato.

Numero sconosciuto

Subito dopo la telefonata, ho postato la questione sull’account Twitter di Unitymediahilfe, indicando il numero di telefono sospetto. I responsabili ufficiali di Unitymedia hanno risposto che non conoscevano quel numero. Ecco il feed di Twitter:

La truffa stava quasi per compiersi

Alla fine, essendo molto attento alla sicurezza, ho evitato una potenziale perdita finanziaria, anche se non so che cosa avrebbero potuto ottenere accedendo al mio IBAN. Mi ha sconvolto scoprire che quella persona sapeva così tanto sulla mia identità. Non ricevo fatture cartacee da Unitymedia, quindi non può assolutamente trattarsi di qualcuno che si è impossessato della mia posta. Quel che è certo è che l’informazione è trapelata da qualche parte, ma non so da dove.

Anche i professionisti della sicurezza possono essere truffati

Anche se lavoro in un’azienda di sicurezza, e quindi presto particolare attenzione al tema, quel truffatore è riuscito a tenermi impegnato per un bel po’. Questo mi ha fatto pensare a cosa potrebbe accadere ad altre persone che probabilmente ritengono (erroneamente) di non essere un bersaglio attraente per truffatori e hacker. La realtà è che una situazione simile potrebbe accadere a chiunque, ovunque e in qualsiasi momento. È fondamentale adottare misure preventive per proteggere i nostri dispositivi e la nostra privacy. Per questo è importantissimo acquisire la consapevolezza di cosa dovrebbe essere condiviso e cosa no.

Questo articolo è disponibile anche in: IngleseTedescoFrancese