Come funziona la truffa shoulder surf: “Rubano il telefono e prosciugano il tuo conto bancario”
Rubare un telefono è un'operazione complessa. I ladri non si limitano a cogliere il momento opportuno per sottrarre lo smartphone dalla borsa, c'è tutto un lavoro di preparazione dietro, e parte con il "shoulder surf". In poche parole spiare la vittima per riuscire a scoprire il PIN del dispositivo prima di rubarlo. D'altronde perché accontentarsi di rivedere un cellulare quando si può avere accesso a un conto bancario? "È solo un telefono, ma se lo tiri fuori senza le giuste precauzioni e protezioni è un mezzo per accedere a moltissimi soldi. Entreresti mai in un bar, lo sbloccheresti e lo appoggeresti da qualche parte? Probabilmente no", ha spiegato alla BBC il sovrintendente investigativo John Roch, a capo del team che si occupa di Economic Crime della polizia di Londra.
Come racconta alla BBC Jake Moore, che lavora per la società di sicurezza informatica ESET, ed era a capo dell'unità forense digitale della polizia del Dorset, spesso i criminali si sistemano alle spalle della vittima (da qui il nome shoulder surf: surfare alle spalle di qualcuno) per riuscire a vedere il PIN, solo dopo averlo acquisito cercano di rubare il dispositivo. In questo modo una volta che è nelle loro mani i ladri usano il PIN per sbloccare il telefono e poi cercano di utilizzare lo stesso codice per entrare anche nelle app dello smartphone. Innanzitutto in quelle bancarie, se non funziona cercano nella sezione note gli appunti della vittima per vedere se sono state salvate password e credenziali da utilizzare.
Il caso di Jacopo de Simone
È un'operazione più complessa, e come spiega Roch anche meno comune: "Non è su vasta scala, ma il potenziale risultato è devastante per le vittime, perché un criminale riesce a entrare nel telefono e poi nelle app della banca a cui ha accesso a tutti i tuoi risparmi, tutta la tua vita, qualunque cosa tu abbia memorizzato su quell'app finanziaria". È successo a Jacopo de Simone. L'anno scorso è stato derubato, i ladri sono riusciti a prendere lo smartphone e entrate nell'app della sua banca: gli hanno rubato 22.000 sterline. Il ragazzo ha spiegato che quando si è accorto del furto non ha subito bloccato il conto, non ci ha pensato, è andato a dormire "infastidito e frustrato", avrebbe capito cosa fare il girono dopo, ha detto.
Quando però il mattino successivo è entrato sull'online banking si è accorto che tutti i suoi soldi erano stati rubati. "Mi sono bloccato e ho cercato di recuperare i miei pensieri, ho pensato ‘Ok, qual è l'approccio migliore qui?' Ero spaventato e allarmato, ho visto bruciati così tutti i miei guadagni. Non capivo come poteva essere successa una cosa simile". Dopo dieci mesi de Simone è stato rimborsato, ha dovuto dimostrare che non era stato lui a spendere i soldi e che era vittima di un furto, come ha raccontato il ragazzo è stato un processo lungo e impegnativo. "Ho cambiato completamente il modo in cui utilizzo le mie app bancarie oggi", ha spiegato alla BBC, "cerco di non tenere le app sul telefono. Non credo valga la pena avere accessi facili e pratici quando rischi che tutti i tuoi soldi vengano rubati". Oltre a non tenere le app sensibili sullo smartphone, come suggerisce de Simone, ci sono anche altre soluzioni. La più banale è utilizzare l'impronta digitale, ormai disponibile sugli smartphone per sbloccare l'accesso. In generale non inserire le proprie password in pubblico e soprattutto non salvare sul telefono codici e credenziali che potrebbero essere utilizzate dai ladri per sottrarre soldi o informazioni private.