Malfattori tentano di sfruttare l’ingenuità dei possessori dei conti Bancoposta e prepagate Postapay, ma vengono scoperti subito
Arturo Di Corinto
aprileonline.info n. 221 del 16/03/2005
Ieri le poste italiane hanno festeggiato la consegna della milionesima carta prepagata ”postepay” segnando un primato europeo. La carta è utilizzabile ovunque per fare acquisti e prelevare moneta sonante dagli sportelli automatici, anche all’estero, e consente di pagare bollettini di conto corrente postale presso ogni Postamat.
E’ sicura, dice l’azienda, in quanto ogni titolare riceve un codice personale segreto, e in caso di smarrimento o sottrazione della carta se ne può chiedere il blocco immediato. Ma proprio ieri alcuni malfattori hanno cercato di procurarsi questo codice personale via internet con una email fasulla in cui chiedevano agli eventuali detentori di Banco posta o Postapay di fornire nuovamente i propri dati e il proprio codice di accesso perchè il sistema online delle Poste doveva essere aggiornato. I dati, se immessi, finivano però in un sito-trappola dal quale chi aveva ideato la truffa entrava in possesso dei codici riservati.
Il meccanismo di questo ennesimo imbroglio telematico sfrutta una tecnica nota come “Phishing” variazione del termine inglese “fishing”, cioè “pescare” ed evoca esattamente la figura di un’esca gettata nel mare magnum di internet in attesa che qualcuno ”abbocchi”. Parente del social engineering, la tecnica di spacciarsi per qualcun altro e ottenere informazioni riservate via telefono, fax, e internet, viene anche detta “brand spoofing” (manipolazione del marchio) proprio perchè sfrutta il rapporto di fiducia fra il logo aziendale e il consumatore o l’utente di un servizio.
E infatti la manipolazione del logo è uno degli elementi necessari per la truffa insieme a questi ingredienti: un indirizzario di utenti email, spesso creato a dispetto delle norme sulla privacy (un indirizzo di posta elettronica è un dato personale tutelato dalla legge), un account di posta credibile che magari evoca un sito o un provider noto, un sito clone di quello legittimo, con la stessa grafica e colori, un indirizzo web o Url, simile a quello dell’indirizzo che fornisce il servizio, e l’ingenuità o la fretta dell’utente invitato ad operarvi. Ingredienti tutti presenti nel tentativo di truffa di ieri.
In realtà ieri sono state due le email incriminate, ma entrambe provenivano da un indirizzo che sembrava essere quello di Poste italiane. Il mittente del messaggio era in entrambe i casi “update@poste.it”, mentre l’oggetto della missiva elettronica era ”aggiornamento urgente poste.it”.
Nei due messaggi, inviati a distanza di un’ora si avvisano i ”possessori di carta PostePay o di un conto Bancoposta” che ”a seguito di verifiche nei nostri database clienti, si è reso necessario per l’utilizzo online la conferma dei suoi dati”. ”Le chiediamo perciò di confermarci i dati in nostro possesso entro 7 giorni dalla presente, accedendo al seguente form protetto”. Subito dopo i truffatori indicano alcuni link ad un sito internet, che dovrebbe essere la pagina di Poste per aggiornare i dati ma che invece è qualcos’altro.
Nel primo caso i due link proposti nella email: poste.it e https://www.poste.it/update-clienti/
apriva la pagina web di un’azienda che vende domini e servizi Intenet la Tophost di Roma, e quindi al massimo l’email truffa poteva servire a fare solo della pubblicità gratuita al sito sfruttando la notorietà del marchio Poste italiane e il suo gran numero di potenziali utenti, nel secondo caso indirizzava il “truffando” al sito www.genoacfc.it associazione di cricket e football genovese dove il malcapitato avrebbe trovato una pagina web con tanto di campi predisposti per l’inserimento dei propri dati personali.
Quando ieri ce ne siamo accorti ”real time” abbiamo provato ad avvisare le Poste italiane attraverso il numero verde del call center 803.160 attraverso cui abbiamo chiesto a una gentile signorina se l’email fosse attribuibile a Poste Italiane. La signorina ci ha rimandato al personale tecnico chiedendoci nome e numero di telefono e aprendo la pratica numero “150 49 174″ per farci richiamare e fornire chiarimenti. Non siamo stati ricontattati, ma evidentemente devono essersi accorti del trucco perchè oggi entrambe i siti truffa risultavano bloccati. In una scarna nota inviata all’Ansa i responsabili delle Poste hanno dichiarato: ”Poste.it non ha mandato e mai manderà alcun documento che chiede l’inserimento di dati sensibili e soprattutto password via e mail. E’ falsa”, aggiungendo che l’azienda si sta ”attrezzando per tutelare il buon nome di Poste.it in tutte le sedi opportune, attivando tutti coloro che devono essere attivati in casi come questo”.
Intanto però non sappiamo chi c’è cascato e in quanti.