Si sta verificando un aumento di una nuova forma di furto di telefoni cellulari. Invece di sottrarre direttamente i dispositivi, i malintenzionati si spacciano per i proprietari per ottenere nuovi smartphone dai gestori di telefonia mobile, addebitando poi i costi ai reali titolari degli account. Ecco una panoramica di ciò che sta accadendo.
Cos’è il furto d’identità dell’account?
Il tradizionale furto di smartphone sta diventando sempre più complesso e meno redditizio. I consumatori sono diventati più attenti alla sicurezza dei loro telefoni e molti smartphone, a partire dall’iPhone, offrono sistemi di crittografia e funzionalità di localizzazione in caso di smarrimento. Di conseguenza, alcuni criminali hanno optato per una nuova strategia: anziché occuparsi di telefoni rubati e dei problemi relativi all’attivazione, si fingono i titolari dell’account e ordinano nuovi dispositivi a loro nome.
Questa truffa si rivela efficace per diverse ragioni. Il truffatore può beneficiare di tutte le promozioni telefoniche disponibili per l’account preso di mira, pagando il meno possibile in anticipo (o addirittura nulla), e il proprietario potrebbe accorgersene solo quando è ormai troppo tardi. L’aggiornamento delle linee telefoniche esistenti è il metodo più ovvio, poiché i vecchi telefoni smettono di funzionare, quindi alcuni criminali preferiscono attivare nuove linee. In questo modo, il proprietario potrebbe non accorgersi della truffa fino all’arrivo della successiva fattura. Inoltre, se è stato impostato il pagamento automatico delle bollette, il tempo di accorgimento potrebbe prolungarsi ulteriormente.
In alcuni casi, l’obiettivo non è tanto rubare il telefono in sé. I truffatori possono usare l’aggiornamento delle linee come pretesto per effettuare uno scambio di SIM. Il numero di telefono viene trasferito a un altro dispositivo in loro possesso, che possono poi usare per violare tutti gli account che utilizzano il numero di telefono come opzione di recupero.
Come i criminali si impadroniscono degli account di telefonia mobile
A questo punto, è lecito chiedersi come un criminale possa acquistare smartphone usando l’account di un’altra persona. Purtroppo, sono state individuate diverse modalità operative.
In alcuni casi, il truffatore ruba l’identità, crea un documento di identificazione falso con il nome della vittima ma con la propria fotografia e si reca in un negozio per acquistare i telefoni. Si potrebbe pensare che ciò avvenga solo nelle vicinanze del proprietario dell’account, ma, come ha scoperto Lorrie Cranor, ex capo tecnologo della FTC, non è affatto così. Ha constatato che i suoi telefoni si sono disattivati dopo che qualcuno, spacciandosi per lei in un’altra regione, aveva aggiornato le sue linee con dei nuovi iPhone. Lamentele simili si possono trovare sui forum degli operatori telefonici.
Nel 2017, la polizia di Cleveland ha arrestato tre individui responsabili di un furto di telefoni cellulari per un valore di 65.000 dollari, principalmente attraverso l’utilizzo di documenti di identità falsi.
In altri casi, sono state impiegate semplici tattiche di phishing. All’inizio del 2019, alcuni clienti Verizon in Florida hanno iniziato a ricevere chiamate riguardanti presunte frodi. Il finto operatore comunicava alle vittime che era necessario verificare la loro identità e che, a tal fine, Verizon avrebbe inviato un PIN. Le vittime dovevano quindi comunicare il PIN alla persona al telefono.
Ma la persona al telefono non era un dipendente di Verizon, bensì il truffatore di cui la vittima era stata avvertita. In questo caso, il truffatore aveva generato un PIN Verizon autentico, probabilmente tramite la procedura di recupero dell’account. Quando la vittima comunicava il PIN, forniva al criminale le informazioni necessarie per accedere all’account e ordinare nuovi smartphone. Fortunatamente, alcuni dipendenti Verizon hanno individuato altri elementi sospetti e hanno avvisato la polizia, ma questo non accade sempre.
Alla fine del 2018, dodici persone sono state incriminate per aver violato gli account online, aggiungendo o aggiornando linee e spedendo i nuovi dispositivi altrove. Si ritiene che, prima di essere fermati, i responsabili fossero riusciti a ottenere dispositivi per un valore superiore a 1 milione di dollari. Avevano utilizzato informazioni acquistate nel dark web, provenienti da violazioni di dati, o, in alcuni casi, avevano inviato messaggi di phishing per sottrarre informazioni relative all’account.
Cosa fare se il tuo account è stato compromesso
Se sei vittima di una violazione dell’account, potrebbe sembrare di non poter fare nulla, ma non è così. Non sei tenuto a pagare per servizi che non hai richiesto e per telefoni che non hai mai ricevuto. È necessario agire con metodo: prendere carta e penna e annotare il processo. Scrivere le aziende che sono state contattate, la data e l’ora delle chiamate e i nomi degli operatori con cui si è parlato. Annotare anche ciò che dicono gli operatori, soprattutto se promettono azioni specifiche o chiedono ulteriori informazioni o documenti. La FTC ha messo a disposizione una lista di controllo utile da seguire, e qui ne approfondiremo alcuni punti.
Per prima cosa, è necessario contattare il proprio operatore telefonico e spiegare l’accaduto. Chiedere se l’azienda dispone di un dipartimento antifrode. In caso affermativo, richiedere di essere trasferiti al reparto competente. Spiegare la situazione e richiedere assistenza per risolvere il problema. Chiedere esattamente quali documenti sono necessari e prendere nota di tutto. È opportuno chiedere se è possibile bloccare l’account e se è possibile aggiungere un PIN di verifica (o altre misure di sicurezza) per impedire a chiunque di aggiungere ulteriori linee all’account.
Quindi, è importante inserire un avviso di frode su tutti i propri conti di credito. Si potrebbe anche valutare di congelare il credito. Il congelamento del credito dovrebbe impedire a chiunque di aprire un nuovo account a nome proprio, ma, purtroppo, potrebbe non prevenire frodi con aggiornamenti o aggiunte di linee. Molti operatori telefonici non effettuano una verifica del credito, basandosi invece sulla cronologia di fatturazione dei clienti esistenti. Tuttavia, il congelamento del credito può prevenire altri tipi di frode e vale quindi la pena farlo.
Con il congelamento del credito attivo, è necessario denunciare la frode alla polizia locale. Chiamare o recarsi presso il comando di polizia e chiedere come presentare la denuncia. Assicurarsi di avere a portata di mano tutte le prove, come le fatture delle linee aggiunte. Spiegare cosa è successo e ottenere una copia dei documenti della denuncia.
Ora, ricontattare l’operatore telefonico con tutta la documentazione richiesta (inclusa la denuncia) e chiedere come annullare tutti gli addebiti, se non è già stato fatto.
È necessario prepararsi al fatto che questo processo richiederà tempo, a volte giorni o settimane. È importante tenere traccia di tutte le persone contattate e di ogni passaggio compiuto. Ciò eviterà di ripetere operazioni inutili e darà un senso di controllo sulla situazione.
Come prevenire il furto d’identità dell’account
È possibile adottare misure per prevenire il furto d’identità dell’account (o per evitare che si ripeta). Considerando la facilità con cui il furto d’identità può essere perpetrato, l’obiettivo principale è quello di implementare ulteriori barriere protettive. Fortunatamente, i quattro principali operatori offrono opzioni in tal senso. Purtroppo, mentre Sprint e Verizon rendono questa sicurezza aggiuntiva un requisito per tutti i nuovi clienti, AT&T e T-Mobile non lo fanno.
Se si è clienti Verizon, si dovrebbe aver impostato un PIN dell’account di quattro cifre al momento dell’attivazione del servizio. Se ciò non è stato fatto, o se si è dimenticato il PIN, è necessario visitare la pagina delle Domande frequenti sul PIN e fare clic sul link “Modifica PIN account”. Accedere all’account Verizon quando richiesto.
Anche Sprint richiede un PIN come parte della configurazione dell’account di un cliente, quindi, se si utilizza Sprint, si dovrebbe già averne uno. Sprint richiede anche una domanda di sicurezza come backup e permette di scegliere da un elenco. È consigliabile scegliere una domanda che non sia facilmente reperibile con una ricerca su Google. In caso di smarrimento del PIN, è possibile accedere all’account online e modificarlo nella sezione “Sicurezza e preferenze”.
I clienti AT&T non sono tenuti a impostare un PIN, ma è consigliabile farlo. Sarà necessario accedere al portale online di AT&T. Cercare le due opzioni: “Ottieni un nuovo passcode” e “Gestisci sicurezza extra”. È consigliabile seguire entrambe le procedure. L’opzione “Gestisci sicurezza extra” indica semplicemente ad AT&T di richiedere il passcode in più situazioni, ad esempio, quando si gestisce l’account in un punto vendita.
Per impostazione predefinita, T-Mobile chiede domande di verifica dell’account per determinare l’identità. È possibile impostare un PIN da utilizzare in alternativa, ma l’unico modo per farlo è contattare telefonicamente l’operatore. Da un telefono T-Mobile, è possibile utilizzare il numero 611. T-Mobile offre due opzioni: un PIN di sicurezza dell’account e un PIN per la portabilità in uscita. Hanno funzioni diverse, quindi si consiglia di impostarli entrambi.
Se si utilizza un operatore diverso dai quattro principali, è opportuno consultare il sito di supporto o contattare il servizio clienti per scoprire quali opzioni di sicurezza sono disponibili e come aggiungerle.
Una volta impostati i PIN, sarebbe opportuno richiamare nel giro di uno o due giorni per verificare che vengano effettivamente richiesti. Il processo è semplice e non dovrebbero esserci problemi. La tranquillità e un po’ di pratica nell’utilizzo del nuovo PIN valgono il tempo speso, soprattutto se si scopre che qualcosa è andato storto e il PIN non è stato impostato correttamente dall’operatore.